今すぐVPNFilterマルウェアを特定して修正する方法 (04.26.24)
すべてのマルウェアが同じように作成されるわけではありません。この証拠の1つは、破壊的な特性を持つ新しい種類のルーターマルウェアである VPNFilterマルウェアの存在です。他のほとんどのモノのインターネット(IoT)の脅威とは異なり、再起動後も存続できるという明確な特徴があります。
この記事では、VPNFilterマルウェアとそのターゲットのリストを特定する方法について説明します。また、そもそもシステムに大混乱をもたらすのを防ぐ方法についても説明します。
VPNFilterマルウェアとは何ですか?VPNFilterは、ルーター、IoTデバイス、さらにはネットワーク接続を脅かす破壊的なマルウェアと考えてください。ストレージ(NAS)デバイス。これは、主にさまざまなメーカーのネットワークデバイスを標的とする高度なモジュラーマルウェアの亜種と見なされています。
当初、マルウェアはLinksys、NETGEAR、MikroTik、およびTP-Linkネットワークデバイスで検出されました。 QNAPNASデバイスでも発見されました。現在までに、54か国で約500,000件の感染があり、その大規模な到達範囲と存在感を示しています。
VPNFilterを公開したチームであるCiscoTalosは、マルウェアとその周辺の技術的な詳細に関する広範なブログ投稿を提供しています。見た目からすると、ASUS、D-Link、Huawei、UPVEL、Ubiqiuiti、ZTEのネットワーク機器には感染の兆候が見られます。
他のほとんどのIoTを標的としたマルウェアとは異なり、VPNFilterは除去が困難です。システムを再起動した後も持続します。攻撃に対して脆弱であることが証明されているのは、デフォルトのログインクレデンシャルを使用するデバイス、またはファームウェアの更新がまだ行われていないゼロデイ脆弱性がわかっているデバイスです。
VPNFilterマルウェアの影響を受けることがわかっているデバイスエンタープライズルーターとスモールオフィスルーターまたはホームオフィスルーターの両方がこのマルウェアの標的であることが知られています。次のルーターのブランドとモデルに注意してください。
- AsusRT-AC66U
- Asus RT-N10
- Asus RT-N10E
- Asus RT-N10U
- Asus RT-N56U
- Asus RT-N66U
- D-Link DES-1210-08P
- D-Link DIR-300
- D-Link DIR-300A
- D-Link DSR-250N
- D-Link DSR-500N
- D-Link DSR-1000
- D-Link DSR-1000N
- Linksys E1200
- Linksys E2500
- Linksys E3000
- Linksys E3200
- Linksys E4200
- Linksys RV082
- Huawei HG8245
- Linksys WRVS4400N
- Netgear DG834
- Netgear DGN1000
- Netgear DGN2200
- Netgear DGN3500
- Netgear FVS318N
- Netgear MBRN3000
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- Netgear WNR2200
- Netgear WNR4000
- Netgear WNDR3700
- Netgear WNDR4000
- Netgear WNDR4300
- Netgear WNDR4300-TN
- Netgear UTM50
- MikroTik CCR1009
- MikroTik CCR1016
- MikroTik CCR1036
- MikroTik CCR1072
- MikroTik CRS109
- MikroTik CRS112
- MikroTik CRS125
- MikeroTik RB411
- MikroTik RB450
- MikroTik RB750
- MikroTik RB911
- MikroTik RB921
- MikroTik RB941
- MikroTik RB951
- MikroTik RB952
- MikroTik RB960
- MikroTik RB962
- MikeroTik RB1100
- MikroTik RB1200
- MikroTik RB2011
- MikroTik RB3011
- MikroTik RB Groove
- MikroTik RB Omnitik
- MikroTik STX5
- TP-Link R600VPN
- TP-Link TL-WR741ND
- TP-Link TL-WR841N
- Ubiquiti NSM2
- Ubiquiti PBE M5
- Upvelデバイス-不明なモデル
- ZTEデバイスZXHNH108N
- QNAP TS251
- QNAP TS439 Pro
- その他のQNAP QTSソフトウェアを実行しているNASデバイス
ほとんどの対象デバイスに共通するのは、デフォルトのクレデンシャルの使用です。また、特に古いバージョンのエクスプロイトも知られています。
VPNFilterマルウェアは感染したデバイスに何をしますか?VPNFilterは、影響を受けるデバイスに衰弱させるダメージを与えるだけでなく、データ収集方法としても機能します。これは3つの段階で機能します。
段階1これは、ターゲットデバイスへのインストールと永続的なプレゼンスの維持を示します。マルウェアは、追加のモジュールをダウンロードして指示を待つために、コマンドアンドコントロール(C& C)サーバーに接続します。このフェーズでは、脅威の展開中にインフラストラクチャの変更が発生した場合に備えて、ステージ2のC& Cを特定するための複数の組み込みの冗長性があります。ステージ1VPNFilterは再起動に耐えることができます。
ステージ2これはメインペイロードを特徴としています。再起動しても持続することはできませんが、より多くの機能があります。ファイルの収集、コマンドの実行、データの抽出とデバイス管理を実行できます。マルウェアは、その破壊的な影響を継続し、攻撃者からコマンドを受信すると、デバイスを「ブリック」する可能性があります。これは、デバイスファームウェアの一部を上書きし、その後再起動することで実行されます。犯罪行為によりデバイスが使用できなくなります。
ステージ3このいくつかの既知のモジュールが存在し、ステージ2のプラグインとして機能します。これらは、デバイスを経由するトラフィックをスパイするパケットスニファで構成され、Webサイトの資格情報の盗難を可能にします。 ModbusSCADAプロトコルの追跡。別のモジュールにより、ステージ2はTorを介して安全に通信できます。 Cisco Talosの調査に基づいて、1つのモジュールがデバイスを通過するトラフィックに悪意のあるコンテンツを提供します。このようにして、攻撃者は接続されたデバイスにさらに影響を与える可能性があります。
6月6日、さらに2つのステージ3モジュールが公開されました。 1つ目は「ssler」と呼ばれ、ポート80を使用してデバイスを通過するすべてのトラフィックを傍受できます。これにより、攻撃者はWebトラフィックを表示して傍受し、中間者攻撃を実行できます。たとえば、HTTPSリクエストをHTTPリクエストに変更して、暗号化されたと思われるデータを安全に送信できません。 2つ目は「dstr」と呼ばれ、この機能がないステージ2モジュールにkillコマンドが組み込まれています。実行されると、デバイスをブリックする前にマルウェアの痕跡をすべて排除します。
9月26日に公開されたステージ3モジュールがさらに7つあります。- htpx –動作しますsslerと同様に、感染したデバイスを通過するすべてのHTTPトラフィックをリダイレクトおよび検査して、Windows実行可能ファイルを識別してログに記録します。感染したルーターを通過する際に実行可能ファイルをトロイの木馬化する可能性があり、攻撃者は同じネットワークに接続されたさまざまなマシンにマルウェアをインストールできます。
- ndbr –これは多機能SSHツールと見なされます。
- nm –このモジュールはローカルサブネットをスキャンするためのネットワークマッピング兵器です。
- netfilter –このサービス拒否ユーティリティは、一部の暗号化されたアプリへのアクセスをブロックする可能性があります。
- ポートフォワーディング –ネットワークトラフィックを転送します攻撃者によって決定されたインフラストラクチャへ。
- socks5proxy –脆弱なデバイス上でSOCKS5プロキシを確立できるようにします。
これマルウェアは、国が後援するハッキングエンティティの仕事である可能性があります。最初の感染は主にウクライナで感じられ、ハッキンググループのファンシーベアとロシアが支援するグループに簡単に起因していました。
ただし、これはVPNFilterの洗練された性質を示しています。それは明確な起源と特定のハッキンググループに関連付けることはできず、誰かがまだその責任を主張するために前進していません。 SCADAと他の産業用システムプロトコルには包括的なマルウェアルールとターゲティングがあるため、国民国家のスポンサーが推測されています。
ただし、FBIに尋ねると、VPNFilterはFancyBearの発案によるものです。 2018年5月に、代理店はToKnowAll.comドメインを押収しました。これは、ステージ2および3のVPNFilterのインストールとコマンドに役立つと考えられています。押収はマルウェアの拡散を阻止するのに役立ちましたが、メインのimgに取り組むことはできませんでした。
5月25日の発表で、FBIは、外国を拠点とする大規模なマルウェア攻撃を阻止するために、自宅でWi-Fiルーターを再起動するようユーザーに緊急に要求します。当時、代理店は、小規模オフィスや家庭用Wi-Fiルーターを他のネットワークデバイスとともに10万人も侵害したとして、外国のサイバー犯罪者を特定しました。
私はただの普通のユーザーです–VPNFilter攻撃の意味私ですか?上記で提供したVPNFilterルーターのリストを確認した場合、ルーターが厄介なマルウェアを収容している可能性は低いということです。しかし、それは常に注意の側で最善の誤りです。たとえば、SymantecはVPNFilter Checkを実行して、影響を受けているかどうかをテストできます。チェックを実行するのに数秒しかかかりません。
これが問題です。実際に感染した場合はどうなりますか?次の手順を確認してください。- ルーターをリセットします。次に、VPNFilterチェックをもう一度実行します。
- ルーターを工場出荷時の設定にリセットします。
- デバイスのリモート管理設定を無効にすることを検討してください。
- ルーターの最新のファームウェアをダウンロードします。クリーンなファームウェアのインストールを完了します。理想的には、プロセスの進行中にルーターがオンライン接続を行わないようにします。
- 感染したルーターに接続されているコンピューターまたはデバイスでシステム全体のスキャンを完了します。信頼できるPCオプティマイザーツールを使用して、信頼できるマルウェアスキャナーと連携することを忘れないでください。
- 接続を保護します。一流のオンラインプライバシーとセキュリティの実績を持つ高品質の有料VPNで身を守りましょう。
- ルーターやその他のIoTまたはNASデバイスのデフォルトのログインクレデンシャルを変更する習慣を身に付けましょう。 。
- ファイアウォールをインストールし、適切に構成して、ネットワークに悪意のあるものが入らないようにします。
- 強力で一意のパスワードを使用してデバイスを保護します。
- 暗号化を有効にします。 。
ルーターが影響を受ける可能性がある場合は、デバイスを保護するための新しい情報と手順について、製造元のWebサイトを確認することをお勧めします。すべての情報がルーターを通過するため、これはすぐに実行する手順です。ルーターが危険にさらされると、デバイスのプライバシーとセキュリティが危険にさらされます。
まとめVPNFilterマルウェアは、最近、企業や小規模オフィス、または家庭用ルーターを攻撃する最も強力で破壊不可能な脅威の1つである可能性があります歴史。 Linksys、NETGEAR、MikroTik、TP-LinkネットワークデバイスおよびQNAPNASデバイスで最初に検出されました。影響を受けるルーターのリストは上記にあります。
54か国で約500,000の感染を開始した後、VPNFilterを無視することはできません。これは3段階で機能し、ルーターを動作不能にし、ルーターを通過する情報を収集し、ネットワークトラフィックをブロックします。ネットワークアクティビティの検出と分析は依然として困難な作業です。
この記事では、マルウェアから身を守る方法と、ルーターが侵害された場合に実行できる手順の概要を説明しました。結果は悲惨なので、デバイスをチェックするという重要なタスクに決して座ってはいけません。
YouTubeのビデオ: 今すぐVPNFilterマルウェアを特定して修正する方法
04, 2024