Wie man VPNFilter-Malware erkennt, bevor der Router zerstört wird
Malware, Router, Netzwerkgeräte und Internet der Dinge werden immer häufiger. Die meisten konzentrieren sich darauf, anfällige Geräte zu infizieren und diese zu leistungsstarken Botnetzen hinzuzufügen. Router und IoT-Geräte (Internet of Things - IoT) sind immer eingeschaltet, immer online und warten auf Anweisungen. Perfektes Botnet-Futter also.
Aber nicht alle Malware ist gleich.
VPNFilter ist eine zerstörerische Malware-Bedrohung für Router, IoT-Geräte und sogar einige NAS-Geräte (Network Attached Storage). Wie überprüfen Sie, ob eine Infektion mit VPNFilter-Malware vorliegt? Und wie kannst du es aufräumen? Schauen wir uns VPNFilter genauer an.
Was ist VPNFilter??
VPNFilter ist eine ausgereifte modulare Malware-Variante, die in erster Linie auf Netzwerkgeräte verschiedener Hersteller sowie auf NAS-Geräte abzielt. VPNFilter wurde ursprünglich auf Linksys-, MikroTik-, NETGEAR- und TP-Link-Netzwerkgeräten sowie QNAP-NAS-Geräten mit rund 500.000 Infektionen in 54 Ländern gefunden.
Das Team, das VPNFilter aufgedeckt hat, Cisco Talos, hat vor kurzem Details zu Malware aktualisiert. Das Netzwerkgerät von Herstellern wie ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE zeigt jetzt VPNFilter-Infektionen an. Zum Zeitpunkt des Schreibens sind jedoch keine Cisco-Netzwerkgeräte betroffen.
Die Malware unterscheidet sich von den meisten anderen IoT-basierten Malware nicht, da sie nach einem Neustart des Systems bestehen bleibt und die Auslöschung erschwert. Geräte, die ihre Standardanmeldeinformationen verwenden oder deren Zero-Day-Schwachstellen bekannt sind und keine Firmware-Updates erhalten haben, sind besonders anfällig.
Was macht VPNFilter??
VPNFilter ist also ein “mehrstufige, modulare Plattform” Dies kann zerstörerische Schäden an Geräten verursachen. Darüber hinaus kann es auch als Bedrohung für die Datenerfassung dienen. VPNFilter arbeitet in mehreren Schritten.
Bühne 1: VPNFilter Stage 1 erstellt einen Brückenkopf auf dem Gerät und kontaktiert seinen Befehls- und Steuerungsserver (C & C), um weitere Module herunterzuladen und Anweisungen zu erhalten. Stufe 1 verfügt auch über mehrere integrierte Redundanzen, um die C & Cs der Stufe 2 im Falle einer Änderung der Infrastruktur während der Bereitstellung zu lokalisieren. Die Stufe 1 VPNFilter-Malware kann auch einen Neustart überstehen und macht sie somit zu einer robusten Bedrohung.
Stufe 2: VPNFilter Stage 2 bleibt nicht nach einem Neustart bestehen, verfügt jedoch über eine breitere Palette an Funktionen. Stufe 2 kann private Daten sammeln, Befehle ausführen und die Geräteverwaltung stören. Es gibt auch verschiedene Versionen von Stufe 2 in freier Wildbahn. Einige Versionen sind mit einem zerstörerischen Modul ausgestattet, das eine Partition der Gerätefirmware überschreibt und dann neu startet, um das Gerät unbrauchbar zu machen (die Malware setzt den Router, das IoT oder das NAS-Gerät grundsätzlich in den Hintergrund)..
Stufe 3: VPNFilter Stage 3-Module funktionieren wie Plugins für Stufe 2 und erweitern die Funktionalität von VPNFilter. Ein Modul fungiert als Paketsniffer, der eingehenden Datenverkehr auf dem Gerät sammelt und Anmeldeinformationen stiehlt. Ein anderes erlaubt es der Stufe-2-Malware, mit Tor sicher zu kommunizieren. Cisco Talos hat auch ein Modul gefunden, das schädliche Inhalte in den durch das Gerät gehenden Datenverkehr injiziert. Das bedeutet, dass der Hacker über einen Router, ein IoT oder ein NAS-Gerät weitere Angriffe an andere verbundene Geräte bereitstellen kann.
Darüber hinaus VPNFilter-Module “ermöglichen den Diebstahl von Website-Anmeldeinformationen und die Überwachung der Modbus SCADA-Protokolle.”
Foto teilen Meta
Ein weiteres interessantes (aber nicht neu entdecktes) Feature der VPNFilter-Malware ist die Verwendung von Online-Fotofreigabediensten zum Ermitteln der IP-Adresse des C & C-Servers. Die Talos-Analyse ergab, dass die Malware auf eine Reihe von Photobucket-URLs verweist. Die Malware lädt das erste Bild in der Galerie herunter, auf das die URL verweist, und extrahiert eine Server-IP-Adresse, die in den Bild-Metadaten verborgen ist.
Die IP-Adresse “wird aus sechs ganzzahligen Werten für GPS-Breitengrad und -Längengrad in den EXIF-Informationen extrahiert.” Wenn dies fehlschlägt, greift die Stufe 1-Malware auf eine reguläre Domäne zurück (toknowall.com - mehr dazu weiter unten), um das Image herunterzuladen und den gleichen Vorgang zu versuchen.
Gezieltes Packet Sniffing
Der aktualisierte Talos-Bericht enthielt einige interessante Einblicke in das Paket-Sniffing-Modul von VPNFilter. Anstatt nur alles aufzumachen, hat es ziemlich strenge Regeln, die auf bestimmte Arten von Datenverkehr abzielen. Insbesondere der Verkehr von industriellen Steuersystemen (SCADA), die über TP-Link R600-VPNs eine Verbindung herstellen, Verbindungen zu einer Liste vordefinierter IP-Adressen (die auf fortgeschrittenes Wissen über andere Netzwerke und den gewünschten Datenverkehr hindeuten) sowie Datenpakete mit 150 Byte oder größer.
Craig William, Senior Technology Leader und Global Outreach Manager bei Talos, erklärte gegenüber Ars, “Sie suchen nach ganz bestimmten Dingen. Sie versuchen nicht, so viel Verkehr zu sammeln, wie sie können. Sie suchen nach sehr kleinen Dingen wie Anmeldeinformationen und Passwörtern. Wir haben nicht viel Informationen darüber, es scheint unglaublich zielgerichtet und unglaublich raffiniert. Wir versuchen immer noch herauszufinden, bei wem sie das benutzten.”
Woher kam der VPNFilter??
Es wird vermutet, dass VPNFilter die Arbeit einer staatlich gesponserten Hacking-Gruppe ist. Daß der anfängliche Anstieg der VPNFilter-Infektion vorwiegend in der gesamten Ukraine zu spüren war, deutete auf Fingerabdrücke mit russischer Unterstützung und die Hacking-Gruppe Fancy Bear.
Dies ist jedoch die Raffinesse der Malware, es gibt keine klare Genese und keine Hacking-Gruppe, ob Nationalstaat oder sonstwie, hat die Malware in Anspruch genommen. Angesichts der detaillierten Malware-Regeln und des gezielten Angriffs auf SCADA und andere industrielle Systemprotokolle scheint ein Akteur auf nationaler Ebene am wahrscheinlichsten zu sein.
Unabhängig von dem, was ich denke, glaubt das FBI, dass VPNFilter eine Fancy Bear-Kreation ist. Im Mai 2018 beschlagnahmte das FBI eine Domäne (ToKnowAll.com), von der angenommen wurde, dass sie die VPNFilter-Malware der Stufe 2 und der Stufe 3 installiert und befohlen hat. Der Domain-Anfall hat sicherlich dazu beigetragen, die sofortige Verbreitung von VPNFilter zu stoppen, die Hauptarterie wurde jedoch nicht durchtrennt. Die ukrainische SBU hat im Juli 2018 einen VPNFilter-Angriff auf eine chemische Verarbeitungsanlage abgebaut.
VPNFilter weist auch Ähnlichkeiten mit der BlackEnergy-Malware auf, einem APT-Trojaner, der gegen eine Vielzahl ukrainischer Ziele eingesetzt wird. Auch wenn dies bei weitem nicht vollständig belegt ist, stammt das systematische Angriffsziel der Ukraine überwiegend von Hacking-Gruppen mit russischen Bindungen.
Bin ich mit VPNFilter infiziert??
Wahrscheinlich birgt Ihr Router keine VPNFilter-Malware. Aber es ist immer besser als sicher zu sein:
- Überprüfen Sie diese Liste für Ihren Router. Wenn Sie nicht auf der Liste stehen, ist alles in Ordnung.
- Sie können zur Symantec VPNFilter Check-Site wechseln. Überprüfen Sie die Bedingungen und klicken Sie auf die Schaltfläche Führen Sie die VPNFilter-Prüfung aus Knopf in der Mitte. Der Test ist innerhalb von Sekunden abgeschlossen.
Ich bin mit VPNFilter infiziert: Was mache ich??
Wenn der Symantec VPNFilter Check bestätigt, dass Ihr Router infiziert ist, haben Sie eine klare Vorgehensweise.
- Setzen Sie Ihren Router zurück und führen Sie den VPNFilter Check erneut aus.
- Setzen Sie Ihren Router auf die Werkseinstellungen zurück.
- Laden Sie die neueste Firmware für Ihren Router herunter und führen Sie eine saubere Firmware-Installation durch, vorzugsweise ohne dass der Router während des Vorgangs eine Online-Verbindung herstellt.
Darüber hinaus müssen Sie auf jedem an den infizierten Router angeschlossenen Gerät vollständige Systemprüfungen durchführen.
Sie sollten immer die Standard-Anmeldedaten Ihres Routers sowie alle anderen IoT- oder NAS-Geräte ändern (IoT-Geräte machen diese Aufgabe nicht einfach. Warum das Internet der Dinge der größte Sicherheits-Albtraum ist Warum das Internet der Dinge der größte Sicherheits-Albtraum ist Eines Tages kommen Sie von der Arbeit nach Hause und stellen fest, dass Ihr Cloud-fähiges Haussicherungssystem durchbrochen wurde.Wie könnte dies passieren? Mit Internet of Things (IoT) können Sie den harten Weg herausfinden . Es gibt auch Hinweise darauf, dass VPNFilter einige Firewalls umgehen kann. 7 Einfache Tipps zum Sichern des Routers und des Wi-Fi-Netzwerks in wenigen Minuten 7 Einfache Tipps zum Sichern des Routers und des Wi-Fi-Netzwerks in Minuten Ist jemand ein Schnüffler und Lauschangriffe auf Ihren Wi-Fi-Verkehr, Ihre Passwörter und Kreditkartennummern stehlen? Würdest du überhaupt wissen, ob jemand war? Wahrscheinlich nicht, also sichern Sie Ihr drahtloses Netzwerk mit diesen 7 einfachen Schritten. Weitere Informationen helfen, viele andere böse Dinge aus Ihrem Netzwerk zu entfernen.
Achten Sie auf Router-Malware!
Router-Malware wird immer häufiger. IoT-Malware und -Sicherheitslücken sind überall vorhanden, und mit der Anzahl der Geräte, die online geschaltet werden, wird es nur noch schlimmer. Ihr Router ist die zentrale Anlaufstelle für Daten in Ihrem Zuhause. Es wird jedoch nicht annähernd so viel Sicherheit geboten wie andere Geräte.
Einfach gesagt, Ihr Router ist nicht sicher, wie Sie denken 10 Möglichkeiten, wie Ihr Router nicht so sicher ist, wie Sie denken 10 Möglichkeiten, wie Ihr Router nicht so sicher ist, wie Sie denken Hier sind 10 Möglichkeiten, wie Ihr Router von Hackern und Laufwerken genutzt werden kann. von drahtlosen Entführern. Weiterlesen .
Erfahren Sie mehr über: Internet der Dinge, Malware, Online-Sicherheit, Router.