Cách phát hiện malware VPNFilter trước khi nó phá hủy router

Phần mềm độc hại trên bộ định tuyến, thiết bị mạng và Internet of Things đang trở nên phổ biến hơn. Hầu hết chúng lây nhiễm sang các thiết bị dễ bị tấn công và thuộc về các mạng botnet rất mạnh. Thiết bị định tuyến và Internet vạn vật (IoT) luôn được cấp nguồn, luôn trực tuyến, chờ hướng dẫn. Và mạng botnet sử dụng điều này để tấn công các thiết bị này.

Nhưng không phải tất cả phần mềm độc hại (malware) được tạo ra như nhau.

VPNFilter là phần mềm độc hại phá hủy bộ định tuyến, thiết bị IoT và thậm chí một số thiết bị lưu trữ mạng (NAS). Làm cách nào để biết thiết bị của bạn có bị nhiễm phần mềm độc hại VPNFilter hay không? Và làm thế nào bạn có thể loại bỏ nó? Hãy cùng tìm hiểu kỹ hơn về VPNFilter trong bài viết sau.

VPNFilter là gì?

VPNFilter là một biến thể phức tạp, theo mô-đun của phần mềm độc hại chủ yếu nhắm mục tiêu vào các thiết bị mạng của nhiều nhà sản xuất cũng như các thiết bị NAS. VPNFilter ban đầu được tìm thấy trên các thiết bị mạng Linksys, MikroTik, NETGEAR và TP-Link, cũng như các thiết bị QNAP NAS, với khoảng 500.000 lượt lây nhiễm ở 54 quốc gia.

Nhóm phát hiện VPNFilter, Cisco Talos gần đây đã cập nhật chi tiết về phần mềm độc hại này và tiết lộ rằng các thiết bị mạng từ các nhà sản xuất như ASUS, D-Link, Huawei, Ubiquiti, UPVEL và ZTE hiện đang có dấu hiệu bị nhiễm VPNFilter. Tuy nhiên, tại thời điểm viết bài, không có thiết bị mạng nào của Cisco bị ảnh hưởng.

Phần mềm độc hại này khác với hầu hết các phần mềm độc hại nhắm mục tiêu IoT khác ở chỗ nó vẫn tồn tại sau khi bạn khởi động lại hệ thống của mình và khó xóa hơn. Các thiết bị sử dụng thông tin đăng nhập mặc định của chúng hoặc có lỗ hổng zero-day (lỗ hổng phần mềm máy tính không xác định) đặc biệt dễ bị tấn công bởi bản cập nhật chương trình cơ sở không thường xuyên. khi nào.

VPNFilter có thể làm gì?

VPNFilter là một nền tảng “mô-đun, đa nền tảng” có thể làm hỏng và phá hủy thiết bị. Ngoài ra, nó cũng có thể trở thành một mối đe dọa đáng lo ngại trong việc thu thập dữ liệu người dùng. VPNFilter hoạt động theo nhiều giai đoạn.

Giai đoạn 1: VPNFilter mức 1 thiết lập bãi đáp trên thiết bị, liên hệ với máy chủ chỉ huy và điều khiển (C&C) để tải xuống các mô-đun bổ sung và chờ hướng dẫn. Cũng có nhiều cách để tìm C&C Giai đoạn 2 được tích hợp vào Giai đoạn 1 trong trường hợp cơ sở hạ tầng thay đổi trong quá trình triển khai. Phần mềm độc hại VPNFilter cấp độ 1 có thể tồn tại ngay cả sau khi khởi động lại, khiến nó trở thành một mối đe dọa rất nguy hiểm.

Giai đoạn 2: VPNFilter mức 2 không tồn tại sau khi khởi động lại, nhưng cung cấp nhiều tùy chọn tại thời điểm này. Cấp độ 2 có thể thu thập dữ liệu cá nhân, thực hiện các lệnh và phá vỡ việc quản lý thiết bị. Ngoài ra, có nhiều phiên bản khác nhau của giai đoạn 2. Trong thực tế, một số phiên bản được trang bị mô-đun phá hoại ghi đè lên một phân vùng của chương trình cơ sở thiết bị và sau đó khởi động lại để làm cho thiết bị không sử dụng được (về cơ bản nó vô hiệu hóa bộ định tuyến phần mềm độc hại, IoT hoặc thiết bị NAS).

cấp 3: Các mô-đun VPNFilter Giai đoạn 3 hoạt động như các plugin cho Giai đoạn 2 và mở rộng chức năng của VPNFilter. Một mô-đun hoạt động như một trình kiểm tra gói tin thu thập lưu lượng truy cập đến trên thiết bị và đánh cắp thông tin đăng nhập. Thứ hai, phần mềm độc hại cấp độ 2 có thể giao tiếp an toàn bằng Tor. Cisco Talos cũng đã phát hiện ra một mô-đun lây nhiễm nội dung độc hại thông qua lưu lượng thiết bị. Điều này có nghĩa là tin tặc có thể khai thác sâu hơn các thiết bị được kết nối khác thông qua bộ định tuyến, thiết bị IoT hoặc NAS.

Ngoài ra, mô-đun VPNFilter cho phép “đánh cắp thông tin xác thực trang web và giám sát giao thức Modbus SCADA”.

Giải nén địa chỉ IP của máy chủ

Một tính năng thú vị khác (nhưng không mới được phát hiện) của phần mềm độc hại VPNFilter là việc sử dụng các dịch vụ chia sẻ ảnh trực tuyến để lấy địa chỉ IP cho máy chủ C&C. Phân tích của Talos tiết lộ rằng phần mềm độc hại đã trỏ đến một số URL của Photobucket. Phần mềm độc hại tải xuống hình ảnh đầu tiên trong thư viện tham chiếu URL và trích xuất địa chỉ IP của máy chủ ẩn trong siêu dữ liệu hình ảnh.

Địa chỉ IP “được trích xuất từ ​​6 giá trị số nguyên cho vĩ độ và kinh độ GPS trong thông tin EXIF.” Nếu không thành công, phần mềm độc hại Giai đoạn 1 sẽ quay lại miền thông thường (toknowall.com – thông tin thêm bên dưới) để tải xuống hình ảnh và thực hiện quá trình tương tự.

Nhắm mục tiêu theo dõi gói

Báo cáo cập nhật Talos tiết lộ một số thông tin chi tiết thú vị về mô-đun đánh hơi gói VPNFilter. Thay vì làm rối tung mọi thứ, có những quy tắc nghiêm ngặt được đưa ra nhắm vào một số loại lưu lượng nhất định. Đặc biệt, lưu lượng dữ liệu từ các hệ thống điều khiển công nghiệp (SCADA) sử dụng TP-Link R600 VPN kết nối với danh sách các địa chỉ IP được xác định trước (biểu thị kiến ​​thức nâng cao về các mạng khác và lưu lượng mong muốn), cũng như các gói từ 150 byte trở lên.

Craig William, lãnh đạo cấp cao về công nghệ và quản lý phạm vi tiếp cận toàn cầu tại Talos cho biết: “VPNFilter đang tìm kiếm những thứ rất cụ thể. Bạn không cố gắng thu thập càng nhiều lưu lượng càng tốt. Họ chỉ đang cố gắng lấy những thứ rất nhỏ như thông tin đăng nhập và mật khẩu. Chúng tôi không có nhiều thông tin về nó ngoài việc biết rằng nó rất tập trung và vô cùng tinh tế. Chúng tôi vẫn đang cố gắng tìm xem họ đang áp dụng phương pháp này cho ai. “

VPNFilter đến từ đâu?

VPNFilter được cho là tác phẩm của một nhóm tin tặc được ĐÂY LÀ CẢNH BÁO. CÁC HÀNH VI XUYÊN TẠC, CHỐNG PHÁ NHÀ NƯỚC, THÔNG TIN SAI SỰ THẬT, ĐÂY LÀ CẢNH BÁO. CÁC HÀNH VI XUYÊN TẠC, CHỐNG PHÁ NHÀ NƯỚC, THÔNG TIN SAI SỰ THẬT, CỜ BẠC ĐIỀU BỊ NHÀ NƯỚC VIỆT NAM NGHIÊM CẤM VÀ LÀ HÀNH VI VI PHẠM PHÁP LUẬT VIỆT NAM. CHÚNG TÔI LÊN BÀI CẢNH BÁO NÀY VÀ ĐỀ NGHỊ YOUTUBE XÓA NHỮNG VIDEO VI PHẠM PHÁP LUẬT NÀY ĐIỀU BỊ NHÀ NƯỚC VIỆT NAM NGHIÊM CẤM VÀ LÀ HÀNH VI VI PHẠM PHÁP LUẬT VIỆT NAM. CHÚNG TÔI LÊN BÀI CẢNH BÁO NÀY VÀ ĐỀ NGHỊ YOUTUBE XÓA NHỮNG VIDEO VI PHẠM PHÁP LUẬT NÀY bảo trợ. Sự lây nhiễm VPNFilter ban đầu được phát hiện ở Ukraine và các nguồn tin cho rằng nó là sản phẩm của nhóm tấn công Fancy Bear do Nga hậu thuẫn.

Tuy nhiên, chưa có quốc gia hay nhóm tin tặc nào đứng ra nhận trách nhiệm về phần mềm độc hại này. Với các quy tắc chi tiết về phần mềm độc hại và nhắm mục tiêu cho SCADA và các giao thức khác của hệ thống công nghiệp, giả thuyết phần mềm dựa trên quốc gia có vẻ rất khả thi.

Tuy nhiên, FBI cho rằng VPNFilter là sản phẩm của Fancy Bear. Vào tháng 5 năm 2018, FBI đã tịch thu một miền – ToKnowAll.com – được cho là đã được sử dụng để cài đặt và kiểm soát phần mềm độc hại VPNFilter Giai đoạn 2 và 3. chắc chắn đã giúp ngăn chặn VPNFilter lây lan ngay lập tức, nhưng không hoàn toàn giải quyết được vấn đề. Cơ quan An ninh Ukraine (SBU) đã ngăn chặn một cuộc tấn công VPNFilter vào một nhà máy xử lý hóa chất vào tháng 7 năm 2018.

VPNFilter cũng có những điểm tương đồng với phần mềm độc hại BlackEnergy, một loại Trojan APT được sử dụng để chống lại nhiều mục tiêu ở Ukraine. Ngay cả khi không có bằng chứng, các cuộc tấn công vào các hệ thống của Ukraine chủ yếu đến từ các nhóm hack có liên hệ chặt chẽ với Nga.

Làm cách nào để biết thiết bị của tôi có bị nhiễm VPNFilter hay không?

Bộ định tuyến của bạn có thể không bị nhiễm phần mềm độc hại VPNFilter. Nhưng tốt hơn hết là hãy đảm bảo rằng thiết bị của bạn an toàn:

Kiểm tra bộ định tuyến của bạn bằng liên kết: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Nếu thiết bị của bạn không có trong danh sách, mọi thứ đều ổn.

Bạn có thể truy cập trang kiểm tra VPNFilter của Symantec: http://www.symantec.com/filtercheck/. Chọn hộp Điều khoản và Điều kiện và nhấn nút Chạy kiểm tra VPNFilter giữa. Kiểm tra được hoàn thành trong vài giây.

Tôi nên làm gì nếu bị nhiễm VPNFilter?

Nếu quá trình quét Symantec VPNFilter xác nhận rằng bộ định tuyến của bạn bị nhiễm VPNFilter, bạn phải thực hiện các hành động sau.

• Đặt lại bộ định tuyến của bạn và chạy Kiểm tra lại VPNFilter.
• Đặt lại bộ định tuyến của bạn về cài đặt gốc.
• Tải xuống chương trình cơ sở mới nhất cho bộ định tuyến và hoàn tất cài đặt chương trình cơ sở “sạch”, tốt nhất là bộ định tuyến không kết nối mạng trong suốt quá trình.

Ngoài ra, bạn sẽ cần phải quét toàn bộ hệ thống trên mọi thiết bị được kết nối với bộ định tuyến bị nhiễm VPNFilter.

Cách hiệu quả nhất để loại bỏ phần mềm độc hại VPNFilter là sử dụng phần mềm chống vi-rút cũng như ứng dụng loại bỏ phần mềm độc hại. Cả hai công cụ đều có thể phát hiện vi-rút này trước khi nó thực sự lây nhiễm vào máy tính và bộ định tuyến của bạn.

Phần mềm chống vi-rút có thể mất vài giờ để hoàn thành, tùy thuộc vào tốc độ máy tính của bạn. Tuy nhiên, nó cũng cung cấp cho bạn các phương pháp tốt nhất để loại bỏ các tệp độc hại.

Nó cũng đáng để cài đặt một công cụ loại bỏ phần mềm độc hại phát hiện phần mềm độc hại như VPNFilter và chấm dứt nó trước khi vấn đề phát sinh.

Như với phần mềm chống vi-rút, quá trình quét phần mềm độc hại có thể mất nhiều giờ tùy thuộc vào dung lượng ổ cứng và tốc độ của bạn.

Cũng như các loại virus khác, bạn cần xóa phần mềm độc hại VPNFilter khỏi bộ định tuyến của mình. Để thực hiện việc này, bạn cần đặt lại bộ định tuyến về cài đặt mặc định của nhà sản xuất.

Bộ định tuyến khôi phục cài đặt gốc yêu cầu bạn đặt lại bộ định tuyến từ đầu, bao gồm cả việc tạo mật khẩu quản trị viên mới và thiết lập mạng không dây cho tất cả các thiết bị. Sẽ mất thời gian để làm cho nó đúng.

Bất cứ khi nào có thể, bạn nên luôn thay đổi thông tin đăng nhập mặc định của bộ định tuyến và bất kỳ thiết bị IoT hoặc NAS nào (đây không phải là một nhiệm vụ dễ dàng đối với các thiết bị IoT). Mặc dù có bằng chứng cho thấy VPNFilter có thể vượt qua một số tường lửa, nhưng việc cài đặt và định cấu hình tường lửa đúng cách sẽ giúp loại bỏ nhiều sự cố khác khỏi mạng của bạn.

Làm cách nào để tránh nhiễm lại phần mềm độc hại VPNFilter?

Có một số cách để giảm nguy cơ bị nhiễm lại VPNFilter (hoặc một loại vi rút khác), bao gồm các mẹo cụ thể liên quan trực tiếp đến VPNFilter.

Cập nhật chương trình cơ sở của bộ định tuyến

Bộ định tuyến được cập nhật được bảo vệ khỏi phần mềm độc hại VPNFilter cũng như các mối đe dọa bảo mật khác. Luôn nhớ cập nhật nó càng sớm càng tốt.

Thay đổi mật khẩu bộ định tuyến

Không sử dụng mật khẩu mặc định do nhà sản xuất bộ định tuyến đặt. Tạo mật khẩu mạnh hơn và bạn ít có khả năng bị tấn công bởi các cá nhân độc hại của riêng bạn.

Cập nhật phần mềm chống vi rút

Luôn cập nhật các chương trình chống vi-rút và phần mềm độc hại của bạn. Các định nghĩa vi-rút mới thường xuyên được phát hành để giữ cho PC của bạn được thông báo về các mối đe dọa vi-rút và phần mềm độc hại mới.

Hãy cẩn thận với các chương trình mới!

Điều quan trọng là phải biết nguồn của các chương trình và ứng dụng bạn đã tải xuống. Các trang web thiếu uy tín có rất nhiều tiện ích bổ sung mà bạn không cần, chẳng hạn như: B. VPNFilter.

Đừng nhấp vào quảng cáo bật lên!

Nếu bạn thấy một biểu ngữ trong khi duyệt một trang web, đừng nhấp vào nó. Thông thường, an toàn nhất là truy cập trang web khác, không phải trang web có quảng cáo bật lên.

Phần mềm độc hại trên bộ định tuyến ngày càng phổ biến. Phần mềm độc hại và lỗ hổng bảo mật IoT ở khắp mọi nơi và tình hình sẽ trở nên tồi tệ hơn khi số lượng thiết bị trực tuyến tăng lên. Bộ định tuyến là điểm trung tâm cho dữ liệu trong nhà của bạn. Tuy nhiên, nó không được chú ý nhiều về bảo mật như các thiết bị khác. Nói một cách đơn giản, bộ định tuyến không an toàn như bạn nghĩ.

Xem thêm: