Hoe VPN te herkennenFilter Malware voordat het uw router vernietigt

Hoe VPN te herkennenFilter Malware voordat het uw router vernietigt

Malware voor routers, netwerkapparaten en Internet of Things komt steeds vaker voor. De meeste richten zich op het infecteren van kwetsbare apparaten en het toevoegen ervan aan krachtige botnets. Routers en Internet of Things (IoT)-apparaten zijn altijd ingeschakeld, altijd online en wachten op instructies. Perfect botnetvoer dus.





Maar niet alle malware is hetzelfde.



VPNFilter is een destructieve malwarebedreiging voor routers, IoT-apparaten en zelfs sommige NAS-apparaten (Network Attached Storage). Hoe controleer je op een VPNFilter-malware-infectie? En hoe kun je het opruimen? Laten we eens nader kijken VPNFilter.





Wat is VPNFilter?

VPNFilter is een geavanceerde modulaire malwarevariant die zich voornamelijk richt op netwerkapparaten van een groot aantal fabrikanten, evenals op NAS-apparaten. VPNFilter werd aanvankelijk gevonden op netwerkapparaten van Linksys, MikroTik, NETGEAR en TP-Link, evenals op QNAP NAS-apparaten, met ongeveer 500.000 infecties in 54 landen.

De team dat VPNFilter heeft ontdekt , Cisco Talos, recent bijgewerkte details met betrekking tot de malware, wat aangeeft dat netwerkapparatuur van fabrikanten zoals ASUS, D-Link, Huawei, Ubiquiti, UPVEL en ZTE nu VPNFilter-infecties vertonen. Op het moment van schrijven zijn er echter geen Cisco-netwerkapparaten getroffen.



De malware is anders dan de meeste andere op IoT gerichte malware, omdat deze blijft bestaan ​​nadat het systeem opnieuw is opgestart, waardoor het moeilijk uit te roeien is. Apparaten die hun standaard inloggegevens gebruiken of met bekende zero-day-kwetsbaarheden die geen firmware-updates hebben ontvangen, zijn bijzonder kwetsbaar.

ontdek wat een verwijderde YouTube-video was

Wat doet VPNFilter?

VPNFilter is dus een 'multi-stage, modulair platform' dat destructieve schade aan apparaten kan veroorzaken. Bovendien kan het ook dienen als een bedreiging voor het verzamelen van gegevens. VPNFilter werkt in verschillende fasen.



Fase 1: VPNFilter Stage 1 vestigt een bruggenhoofd op het apparaat en neemt contact op met de command and control-server (C&C) om extra modules te downloaden en op instructies te wachten. Stage 1 heeft ook meerdere ingebouwde redundanties om Stage 2 C&C's te lokaliseren in geval van infrastructuurverandering tijdens de implementatie. De Stage 1 VPNFilter-malware kan ook een herstart overleven, waardoor het een robuuste bedreiging vormt.

Stage 2: VPNFilter Stage 2 blijft niet bestaan ​​​​door opnieuw op te starten, maar het komt met een breder scala aan mogelijkheden. Fase 2 kan privégegevens verzamelen, opdrachten uitvoeren en apparaatbeheer verstoren. Ook zijn er verschillende versies van Stage 2 in het wild. Sommige versies zijn uitgerust met een destructieve module die een partitie van de apparaatfirmware overschrijft en vervolgens opnieuw opstart om het apparaat onbruikbaar te maken (de malware blokkeert in feite de router, het IoT of het NAS-apparaat).



Fase 3: VPNFilter Stage 3-modules werken als plug-ins voor Stage 2, waardoor de functionaliteit van VPNFilter wordt uitgebreid. Eén module fungeert als pakketsniffer die inkomend verkeer op het apparaat verzamelt en inloggegevens steelt. Een andere stelt de Stage 2-malware in staat om veilig te communiceren met behulp van Tor. Cisco Talos vond ook een module die schadelijke inhoud injecteert in verkeer dat door het apparaat gaat, wat betekent dat de hacker verdere exploits kan leveren aan andere verbonden apparaten via een router, IoT of NAS-apparaat.

Bovendien maken VPNFilter-modules 'de diefstal van websitegegevens en het bewaken van Modbus SCADA-protocollen mogelijk'.

Meta voor het delen van foto's

Een ander interessant (maar niet nieuw ontdekt) kenmerk van de VPNFilter-malware is het gebruik van online services voor het delen van foto's om het IP-adres van zijn C&C-server te vinden. Uit de Talos-analyse bleek dat de malware verwijst naar een reeks Photobucket-URL's. De malware downloadt de eerste afbeelding in de galerij waar de URL naar verwijst en extraheert een server-IP-adres dat verborgen is in de metadata van de afbeelding.

Het IP-adres 'wordt geëxtraheerd uit zes gehele waarden voor GPS-breedte- en lengtegraad in de EXIF-informatie.' Als dat niet lukt, valt de Stage 1-malware terug naar een regulier domein (toknowall.com---meer hierover hieronder) om de afbeelding te downloaden en hetzelfde proces te proberen.

Gericht pakket snuiven

Het bijgewerkte Talos-rapport onthulde enkele interessante inzichten in de VPNFilter-pakketsnuivende module. In plaats van alles op te zuigen, heeft het een vrij strikte set regels die gericht zijn op specifieke soorten verkeer. Met name verkeer van industriële besturingssystemen (SCADA) die verbinding maken met TP-Link R600 VPN's, verbindingen met een lijst met vooraf gedefinieerde IP-adressen (die wijzen op geavanceerde kennis van andere netwerken en gewenst verkeer), evenals datapakketten van 150 bytes of groter.

Craig William, senior technologieleider en global outreach manager bij Talos, vertelde Ars , 'Ze zijn op zoek naar heel specifieke dingen. Ze proberen niet zoveel mogelijk verkeer te verzamelen. Ze zijn op zoek naar bepaalde kleine dingen zoals inloggegevens en wachtwoorden. We hebben daar niet veel informatie over, behalve dat het ongelooflijk gericht en ongelooflijk geavanceerd lijkt. We proberen er nog steeds achter te komen op wie ze dat hebben gebruikt.'

Waar komt VPNFilter vandaan?

VPNFilter wordt beschouwd als het werk van een door de staat gesponsorde hackgroep. Dat de aanvankelijke toename van de VPNFilter-infectie voornamelijk in heel Oekraïne werd gevoeld, wezen de eerste vingers naar door Rusland gesteunde vingerafdrukken en de hackgroep Fancy Bear.

De malware is echter zo geavanceerd, er is geen duidelijke ontstaansgeschiedenis en geen enkele hackgroep, nationaal of anderszins, is naar voren gestapt om de malware te claimen. Gezien de gedetailleerde malwareregels en targeting van SCADA en andere industriële systeemprotocollen, lijkt een natiestaatsactor het meest waarschijnlijk.

Wat ik ook denk, de FBI gelooft dat VPNFilter een creatie van Fancy Bear is. In mei 2018 heeft de FBI een domein in beslag genomen ---ToKnowAll.com--- waarvan werd gedacht dat het werd gebruikt om Stage 2 en Stage 3 VPNFilter-malware te installeren en te besturen. De inbeslagname van het domein heeft zeker geholpen de onmiddellijke verspreiding van VPNFilter te stoppen, maar heeft de hoofdslagader niet doorgesneden; de Oekraïense SBU heeft in juli 2018 bijvoorbeeld een VPNFilter-aanval op een chemische verwerkingsfabriek neergehaald.

hoe bluetooth op mac aan te zetten

VPNFilter vertoont ook overeenkomsten met de BlackEnergy-malware, een APT-trojan die wordt gebruikt tegen een breed scala aan Oekraïense doelen. Nogmaals, hoewel dit verre van volledig bewijs is, komt de systematische aanval op Oekraïne voornamelijk voort uit hackgroepen met Russische banden.

Ben ik besmet met VPNFilter?

De kans is groot dat uw router de VPNFilter-malware niet herbergt. Maar het is altijd beter om veilig te zijn dan sorry:

  1. Bekijk deze lijst voor uw router. Als je niet op de lijst staat, is alles in orde.
  2. U kunt naar de Symantec VPNFilter Check-site gaan. Vink het vakje met de algemene voorwaarden aan en klik vervolgens op de Voer VPNFiltercontrole uit knop in het midden. De test is binnen enkele seconden voltooid.

Ik ben besmet met VPNFilter: wat moet ik doen?

Als de Symantec VPNFilter Check bevestigt dat uw router is geïnfecteerd, heeft u een duidelijke handelwijze.

  1. Reset uw router en voer vervolgens de VPNFilter Check opnieuw uit.
  2. Reset je router naar de fabrieksinstellingen.
  3. Download de nieuwste firmware voor uw router en voltooi een schone firmware-installatie, bij voorkeur zonder dat de router tijdens het proces een online verbinding maakt.

Daarnaast moet u volledige systeemscans uitvoeren op elk apparaat dat is aangesloten op de geïnfecteerde router.

U moet altijd de standaard inloggegevens van uw router wijzigen, evenals alle IoT- of NAS-apparaten (IoT-apparaten maken deze taak niet gemakkelijk) indien mogelijk. Hoewel er aanwijzingen zijn dat VPNFilter sommige firewalls kan omzeilen, een geïnstalleerd en correct geconfigureerd hebben zal helpen om een ​​heleboel andere vervelende dingen uit je netwerk te houden.

Pas op voor routermalware!

Routermalware komt steeds vaker voor. IoT-malware en kwetsbaarheden zijn overal, en met het aantal apparaten dat online komt, zal dit alleen maar erger worden. Uw router is het centrale punt voor gegevens in uw huis. Toch krijgt het lang niet zoveel aandacht voor beveiliging als andere apparaten.

Simpel gezegd, uw router is niet veilig zoals u denkt.

Deel Deel Tweeten E-mail Een beginnershandleiding voor het animeren van spraak

Het animeren van spraak kan een uitdaging zijn. Als u klaar bent om dialoog aan uw project toe te voegen, zullen we het proces voor u opsplitsen.

Lees volgende Gerelateerde onderwerpen
  • Veiligheid
  • Router
  • Online beveiliging
  • internet van dingen
  • Malware
Over de auteur Gavin Phillips(945 artikelen gepubliceerd)

Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en recenseert regelmatig producten. Hij heeft een BA (Hons) Contemporary Writing met Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan tien jaar professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.

hoe apps op vizio tv te installeren
Meer van Gavin Phillips

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren