Yönlendiriciler, ağ cihazları ve Nesnelerin İnterneti üzerindeki kötü amaçlı yazılımlar giderek daha yaygın hale geliyor. Birçoğu savunmasız cihazlara bulaşıyor ve çok güçlü botnet'lere ait. Yönlendiriciler ve Nesnelerin İnterneti (IoT) cihazları her zaman açık, her zaman çevrimiçi ve talimatları bekliyor. Ve botnet'ler bu cihazlara saldırmak için bundan yararlanıyor.
Ancak tüm kötü amaçlı yazılımlar ( kötü amaçlı yazılımlar ) aynı değildir.
VPNFilter, yönlendiricilere, IoT cihazlarına ve hatta bazı ağa bağlı depolama (NAS) cihazlarına saldıran yıkıcı bir kötü amaçlı yazılımdır. Cihazlarınıza VPNFilter kötü amaçlı yazılım bulaşıp bulaşmadığını nasıl tespit edersiniz? Peki onu nasıl kaldırabilirsiniz? Aşağıdaki makale aracılığıyla VPNFilter'a daha yakından bakalım.
Kötü Amaçlı Yazılım VPN Filtresi nedir? Nasıl kaldırılır?
VPNFilter, öncelikle çeşitli üreticilerin ağ cihazlarını ve NAS cihazlarını hedef alan gelişmiş bir modüler kötü amaçlı yazılım çeşididir . VPNFilter ilk olarak Linksys , MikroTik, NETGEAR ve TP-Link ağ cihazlarının yanı sıra QNAP NAS cihazlarında da bulundu ve 54 ülkede yaklaşık 500.000 enfeksiyonla karşılaştı.
VPNFilter keşif ekibi Cisco Talos, yakın zamanda bu kötü amaçlı yazılımla ilgili ayrıntıları güncelleyerek ASUS, D-Link, Huawei, Ubiquiti, UPVEL ve ZTE gibi üreticilerin ağ cihazlarının şu anda VPNFilter bulaştığına dair işaretler gösterdiğini gösterdi. Ancak bu yazının yazıldığı sırada hiçbir Cisco ağ cihazı etkilenmedi.
Bu kötü amaçlı yazılım, diğer IoT odaklı kötü amaçlı yazılımların çoğundan farklıdır çünkü sistem yeniden başlatıldıktan sonra da varlığını sürdürür ve kaldırılmasını zorlaştırır. Varsayılan oturum açma kimlik bilgilerini kullanan veya ürün yazılımıyla düzenli olarak güncellenmeyen sıfır gün güvenlik açıklarına (bilinmeyen bilgisayar yazılımı güvenlik açıkları) sahip cihazlar özellikle savunmasızdır.
VPNFilter, cihazlara zarar verebilecek ve yok edebilecek bir "çok modüllü, çapraz platformdur". Ayrıca, kullanıcı verilerini toplayarak endişe verici bir tehdit haline de gelebilir. VPNFilter birkaç aşamada çalışır.
Aşama 1 : Aşama 1'deki VPNFilter, cihaz üzerinde bir iniş sitesi oluşturur, ek modülleri indirmek için komuta ve kontrol (C&C) sunucusuyla iletişim kurar ve talimatları bekler. Aşama 1 ayrıca, uygulama sırasında altyapı değişiklikleri olması durumunda Aşama 2'nin C&C'sini konumlandırmak için birden fazla yerleşik koşula sahiptir. Aşama 1 VPNFilter kötü amaçlı yazılımı, yeniden başlatmalardan da kurtulabilir, bu da onu çok tehlikeli bir tehdit haline getirir.
Aşama 2 : Aşama 2'deki VPNFilter, yeniden başlatmanın ardından kalıcı olmaz, ancak bu aşamada birçok özelliğe sahiptir. Aşama 2, kişisel verileri toplayabilir, komutları yürütebilir ve cihaz yönetimine müdahale edebilir. Ayrıca pratikte 2. aşamanın farklı versiyonları da bulunmaktadır. Bazı sürümler, cihazın donanım yazılımının bir bölümünün üzerine yazan ve ardından cihazı kullanılamaz hale getirmek için yeniden başlatan (esasen kötü amaçlı yazılımı devre dışı bırakarak) yönlendiriciyi , IoT veya NAS cihazlarını yapılandıran yıkıcı bir modülle donatılmıştır .
Aşama 3 : Aşama 3'teki VPNFilter modülleri, aşama 2 için eklenti görevi görerek VPNFilter'ın işlevselliğini artırır. Paket algılayıcı görevi gören , cihaza gelen trafiği toplayan ve oturum açma bilgilerini çalan bir modül. Başka bir tür, 2. aşama kötü amaçlı yazılımların Tor kullanarak güvenli bir şekilde iletişim kurmasına olanak tanır . Cisco Talos ayrıca, cihazdan geçen trafiğe kötü amaçlı içerik enjekte eden bir modül buldu; bu, bilgisayar korsanlarının yönlendiriciler, IoT veya NAS cihazları aracılığıyla diğer bağlı cihazlardan daha fazla yararlanabileceği anlamına geliyor.
Ek olarak, VPNFilter modülleri "web sitesi kimlik bilgilerinin çalınmasına ve Modbus SCADA protokollerinin izlenmesine olanak tanır."
VPNFilter kötü amaçlı yazılımının bir başka ilginç (ancak yeni keşfedilmemiş) özelliği , C&C sunucusunun IP adresini bulmak için çevrimiçi fotoğraf paylaşım hizmetlerini kullanmasıdır . Talos analizi, kötü amaçlı yazılımın bir dizi Photobucket URL'sine işaret ettiğini keşfetti. Kötü amaçlı yazılım, URL referans galerisindeki ilk görseli indirir ve görselin meta verilerinde gizli olan sunucu IP adresini çıkarır.
IP adresi “ EXIF bilgilerindeki GPS enlem ve boylamına ilişkin 6 tamsayı değerinden çıkarılır .” Bu başarısız olursa, 1. aşamadaki kötü amaçlı yazılım, görüntüyü indirmek ve aynı işlemi denemek için normal etki alanına (toknowall.com - daha fazlası aşağıdadır) geri dönecektir.
Talos'un güncelleme raporu, VPNFilter paket koklama modülü hakkında bazı ilginç ayrıntıları gösteriyor. Her şeye müdahale etmek yerine, belirli trafik türlerini hedef alan katı kuralları vardır. Spesifik olarak, TP-Link R600 VPN kullanan bir endüstriyel kontrol sisteminden (SCADA) gelen trafik, önceden tanımlanmış bir IP adresleri listesine (ağlara ilişkin gelişmiş bilgileri gösterir) ve istenen trafiğe ve ayrıca 150 bayt veya 150 baytlık veri paketlerine bağlanır. daha büyük.
Talos'un kıdemli teknoloji lideri ve küresel erişim yöneticisi Craig William, Ars'a "VPNFilter çok spesifik şeyler arıyor" dedi. Mümkün olduğu kadar fazla trafik toplamaya çalışmıyorlar. Yalnızca giriş bilgileri ve şifreler gibi çok küçük şeyleri almaya çalışırlar. Bunun çok hedefe yönelik ve son derece karmaşık olduğunu bilmek dışında, bu konuda çok fazla bilgimiz yok. Bu yöntemi kimlere uyguladıklarını hâlâ bulmaya çalışıyoruz."
VPNFilter'ın devlet destekli bir hacker grubunun işi olduğuna inanılıyor. VPNFilter enfeksiyonu ilk olarak Ukrayna'da keşfedildi ve birçok kaynak bunun Rusya destekli bilgisayar korsanlığı grubu Fancy Bear'ın işi olduğuna inanıyor.
Ancak hiçbir ülke veya hacker grubu bu kötü amaçlı yazılımın sorumluluğunu üstlenmedi. Kötü amaçlı yazılımın SCADA ve diğer endüstriyel sistem protokollerine yönelik ayrıntılı ve hedefe yönelik kuralları göz önüne alındığında, yazılımın bir ulus devlet tarafından desteklendiği teorisi büyük olasılıkla görünüyor.
Ancak FBI, VPNFilter'ın Fancy Bear'ın bir ürünü olduğuna inanıyor. Mayıs 2018'de FBI, 2. aşama ve 3. aşama VPNFilter kötü amaçlı yazılımını yüklemek ve yönetmek için kullanıldığına inanılan bir alan adını (ToKnowAll.com) ele geçirdi. sorunu tamamen çözmedi. Ukrayna Güvenlik Servisi (SBU), Temmuz 2018'de bir kimyasal işleme tesisine yapılan VPNFilter saldırısını önledi.
VPNFilter aynı zamanda Ukrayna'daki çeşitli hedeflere karşı kullanılan bir APT truva atı olan BlackEnergy kötü amaçlı yazılımıyla da benzerlikler taşıyor . Bir kez daha kesin deliller olmasa da Ukrayna sistemlerini hedef alan saldırıların ağırlıklı olarak Rusya ile yakın bağları olan hacker gruplarından geldiği belirtiliyor.
Muhtemelen yönlendiricinize VPNFilter kötü amaçlı yazılımı bulaşmamıştır. Ancak cihazınızın güvende olduğundan emin olmak yine de daha iyidir:
Yönlendiricinizi şu bağlantıyla kontrol edin: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Cihazınız listede yoksa her şey yolunda demektir.
Symantec'in VPNFilter test sayfasını ziyaret edebilirsiniz: http://www.symantec.com/filtercheck/. Şartlar ve koşullar kutusunu işaretleyin ve ardından ortadaki VPNFilter Kontrolünü Çalıştır düğmesine basın. Test birkaç saniye içinde tamamlanacaktır.
Symantec VPNFilter Check, yönlendiricinize VPNFilter bulaştığını doğrularsa aşağıdaki işlemleri yapmanız gerekir.
Ayrıca, VPNFilter bulaşmış yönlendiriciye bağlı her cihazda tam sistem taraması yapmanız gerekir.
VPNFilter kötü amaçlı yazılımlarını kaldırmanın en etkili yolu , kötü amaçlı yazılım temizleme uygulamasının yanı sıra antivirüs yazılımı kullanmaktır . Her iki araç da bu virüsü bilgisayarınıza ve yönlendiricinize gerçekten bulaşmadan önce tespit edebilir.
Antivirüs yazılımının işlemi tamamlaması, bilgisayarınızın hızına bağlı olarak birkaç saat sürebilir ancak aynı zamanda kötü amaçlı dosyaları kaldırmak için en iyi yöntemleri de sağlar.
Ayrıca, VPNFilter gibi kötü amaçlı yazılımları tespit eden ve herhangi bir soruna neden olmadan önce onu ortadan kaldıran bir kötü amaçlı yazılım temizleme aracı yüklemeye değer.
Antivirüs yazılımı gibi, kötü amaçlı yazılım tarama işlemi de bilgisayarınızın sabit sürücüsünün boyutuna ve hızına bağlı olarak birkaç saat sürebilir.
Diğer virüsler gibi VPNFilter kötü amaçlı yazılımını da yönlendiricinizden kaldırmanız gerekir. Bunu yapmak için yönlendiriciyi fabrika varsayılan ayarlarına sıfırlamanız gerekir.
Yönlendiricinin donanımdan sıfırlanması, yeni bir yönetici parolası oluşturma ve tüm cihazlar için bir kablosuz ağ kurma da dahil olmak üzere yönlendiriciyi sıfırdan sıfırlamanızı gerektirir. Bunu doğru bir şekilde yapmak biraz zaman alacaktır.
Mümkünse, yönlendiricinizin ve IoT veya NAS cihazlarının varsayılan kimlik bilgilerini her zaman değiştirmelisiniz (bu görevi IoT cihazlarında yapmak kolay değildir). Ek olarak, VPNFilter'ın bazı güvenlik duvarlarını atlayabileceğine dair kanıtlar olsa da , bir güvenlik duvarını doğru şekilde kurmak ve yapılandırmak yine de diğer pek çok kötü şeyin ağınızdan uzak tutulmasına yardımcı olacaktır.
VPNFilter kötü amaçlı yazılımını kaldırmanın en etkili yolu antivirüs yazılımı kullanmaktır
Doğrudan VPNFilter ile ilgili belirli ipuçları da dahil olmak üzere, VPNFilter'ın (veya başka bir virüsün) yeniden bulaşması riskini azaltmanın birkaç önemli yolu vardır.
Güncellenen yönlendirici, VPNFilter kötü amaçlı yazılımının yanı sıra diğer güvenlik tehditlerine karşı da korunmaktadır. Her zaman mümkün olan en kısa sürede güncellemeyi unutmayın.
Yönlendirici üreticisi tarafından belirlenen varsayılan şifreyi kullanmayın. Daha güçlü ve kötü niyetli aktörlerin saldırısına uğrama olasılığı daha düşük olan kendi şifrelerinizi oluşturun .
Anti-virüs ve anti-malware programlarınızı güncel tutun. Düzenli olarak yeni virüs tanımları yayınlanır ve bunlar, bilgisayarınızın aranacak yeni virüs ve kötü amaçlı yazılım tehditleri hakkında bilgi sahibi olmasını sağlar.
İndirdiğiniz program ve uygulamaların kaynağını net bir şekilde bilmeniz önemlidir. Daha az saygın sitelerde VPNFilter gibi ihtiyacınız olmayan birçok eklenti bulunur.
Bir web sitesine göz atarken bir banner göründüğünde, üzerine tıklamayın. Genellikle en güvenli yol, açılır reklamlarla dolu bir web sitesini değil, başka bir web sitesini ziyaret etmektir.
Yönlendiricilerdeki kötü amaçlı yazılımlar giderek daha popüler hale geliyor. Kötü amaçlı yazılım ve IoT güvenlik açıkları her yerde ve çevrimiçi cihazların sayısının giderek artmasıyla durum daha da kötüleşecek. Yönlendirici evinizdeki verilerin odak noktasıdır. Ancak diğer cihazlar kadar güvenlik dikkati çekmiyor. Basitçe söylemek gerekirse, yönlendiriciler düşündüğünüz kadar güvenli değildir.
Daha fazla gör:
Ekranın sağ köşesinde bir Windows 10 etkinleştirme bildirimi görüyor musunuz? Bu makale, Windows 10'da telif hakkı isteği bildirimini nasıl sileceğiniz konusunda size rehberlik edecektir.
Microsoft yakın zamanda Windows 10 PC kullanıcıları için Derleme 14393.222 adlı en son toplu güncelleştirmeyi yayımladı. Windows 10 için yayımlanan bu güncelleme, esas olarak kullanıcı geri bildirimlerine dayalı olarak hataları düzeltiyor ve işletim sisteminin performans deneyimini geliştiriyor.
Yerel ağınızda harici erişime ihtiyaç duyan bilgisayarlarınız var mı? Ağınız için bir kale ana bilgisayarını ağ geçidi denetleyicisi olarak kullanmak iyi bir çözüm olabilir.
Bazen eski olay günlüklerinin tamamını bir kerede silmeniz gerekebilir. Bu kılavuzda Quantrimang.com, Windows 10 Olay Görüntüleyicisi'ndeki tüm olay günlüklerini hızlı bir şekilde silmenin 3 yolunu gösterecektir.
IBM Model M gibi fiziksel bir Windows tuşu içermeyen eski bir klasik klavye kullanmayı tercih ederseniz, sık kullanmadığınız bir anahtarı ödünç alarak daha fazlasını eklemenin kolay bir yöntemi vardır.
WindowTop, Windows 10 bilgisayarlarda çalışan tüm uygulama pencerelerini ve programlarını karartma özelliğine sahip bir araçtır.Ya da pencerelerde koyu arka planlı bir arayüz kullanabilirsiniz.
Daha önceki birçok makalemizde çevrimiçi ortamda anonim kalmanın son derece önemli olduğundan bahsetmiştik. Özel bilgilerin her yıl sızdırılması, çevrimiçi güvenliği giderek daha gerekli hale getiriyor. Sanal IP adreslerini kullanmamızın nedeni de budur. Aşağıda sahte IP'ler oluşturma yöntemlerini öğreneceğiz!
Windows 8'deki dil çubuğu, masaüstü ekranında otomatik olarak görüntülemek için tasarlanmış minyatür bir dil araç çubuğudur. Ancak, birçok kişi bu dil çubuğunu görev çubuğuna gizlemek istiyor.
İnternet hızını en üst düzeye çıkarmak, ağ bağlantınızı optimize etmek için çok önemlidir. Bilgisayarları, internete hazır TV'leri, oyun konsollarını vb. kullanarak en iyi eğlence ve iş deneyimini yaşayabilirsiniz.
Kablosuz bağlantı günümüzde bir zorunluluktur ve bu nedenle dahili ağınızın güvenliğini sağlamak için kablosuz güvenlik şarttır.
