Cara Menemukan Malware VPNFilter Sebelum Menghancurkan Router Anda

Iklan

Router, perangkat jaringan, dan malware Internet of Things semakin umum. Sebagian besar fokus menginfeksi perangkat rentan dan menambahkannya ke botnet yang kuat. Perute dan perangkat Internet of Things (IoT) selalu diaktifkan, selalu online, dan menunggu instruksi. Pakan ternak yang sempurna, kalau begitu.

Tetapi tidak semua malware sama.

VPNFilter adalah ancaman malware yang merusak terhadap router, perangkat IoT, dan bahkan beberapa perangkat penyimpanan yang terhubung ke jaringan (NAS). Bagaimana Anda memeriksa infeksi malware VPNFilter? Dan bagaimana Anda bisa membersihkannya? Mari kita lihat lebih dekat VPNFilter.

Apa itu VPNFilter?

VPNFilter adalah varian malware modular canggih yang terutama menargetkan perangkat jaringan dari berbagai produsen, serta perangkat NAS. VPNFilter awalnya ditemukan di perangkat jaringan Linksys, MikroTik, NETGEAR dan TP-Link, serta perangkat QNAP NAS, dengan sekitar 500.000 infeksi di 54 negara.

Itu tim yang menemukan VPNFilter, Cisco Talos, detail yang baru saja diperbarui

mengenai malware, menunjukkan bahwa peralatan jaringan dari produsen seperti ASUS, D-Link, Huawei, Ubiquiti, UPVEL, dan ZTE sekarang menunjukkan infeksi VPNFilter. Namun, pada saat penulisan, tidak ada perangkat jaringan Cisco yang terpengaruh.

Malware ini tidak seperti kebanyakan malware lain yang berfokus pada IoT karena tetap ada setelah sistem dinyalakan kembali, sehingga sulit untuk diberantas. Perangkat yang menggunakan kredensial masuk default mereka atau dengan kerentanan zero-day yang diketahui yang belum menerima pembaruan firmware sangat rentan.

Apa yang Dilakukan VPNFilter?

Jadi, VPNFilter adalah "platform multi-tahap, modular" itu dapat menyebabkan kerusakan perangkat. Selain itu, ini juga bisa berfungsi sebagai ancaman pengumpulan data. VPNFilter berfungsi dalam beberapa tahap.

Tahap 1: VPNFilter Tahap 1 menetapkan sandaran kepala pada perangkat, menghubungi perintah dan server kontrol (C&C) untuk mengunduh modul tambahan dan menunggu instruksi. Tahap 1 juga memiliki beberapa redundansi bawaan untuk menemukan K&I Tahap 2 jika terjadi perubahan infrastruktur selama penyebaran. Malware VPNFilter Tahap 1 juga dapat selamat dari reboot, menjadikannya ancaman yang kuat.

Tahap 2: VPNFilter Stage 2 tidak bertahan melalui reboot, tetapi ia datang dengan kemampuan yang lebih luas. Tahap 2 dapat mengumpulkan data pribadi, menjalankan perintah, dan mengganggu manajemen perangkat. Juga, ada berbagai versi Tahap 2 di alam bebas. Beberapa versi dilengkapi dengan modul destruktif yang menimpa partisi firmware perangkat, kemudian reboot untuk membuat perangkat tidak dapat digunakan (malware merusak router, IoT, atau perangkat NAS, pada dasarnya).

Tahap 3: Modul VPNFilter Stage 3 bekerja seperti plugin untuk Stage 2, memperluas fungsionalitas VPNFilter. Satu modul bertindak sebagai sniffer paket yang mengumpulkan lalu lintas masuk pada perangkat dan mencuri kredensial. Lain memungkinkan malware Tahap 2 untuk berkomunikasi dengan aman menggunakan Tor. Cisco Talos juga menemukan satu modul yang menyuntikkan konten berbahaya ke lalu lintas yang melewati perangkat, artinya peretas dapat mengirimkan eksploitasi lebih lanjut ke perangkat lain yang terhubung melalui router, IoT, atau NAS alat.

Selain itu, modul VPNFilter "memungkinkan pencurian kredensial situs web dan pemantauan protokol Modbus SCADA."

Meta Berbagi Foto

Fitur lain yang menarik (tetapi bukan yang baru ditemukan) dari malware VPNFilter adalah penggunaan layanan berbagi foto online untuk menemukan alamat IP server C&C-nya. Analisis Talos menemukan bahwa malware menunjuk ke serangkaian URL Photobucket. Malware mengunduh gambar pertama di galeri referensi URL dan mengekstrak alamat IP server yang tersembunyi di dalam gambar metadata.

Alamat IP "diekstraksi dari enam nilai integer untuk lintang dan bujur GPS dalam informasi EXIF." Jika itu gagal, maka Malware Tahap 1 jatuh kembali ke domain biasa (toknowall.com — lebih lanjut tentang ini di bawah) untuk mengunduh gambar dan melakukan hal yang sama proses.

Paket Sniffing yang Ditargetkan

Laporan Talos yang diperbarui mengungkapkan beberapa wawasan menarik ke dalam modul sniffing paket VPNFilter. Alih-alih hanya meningkatkan semuanya, ia memiliki seperangkat aturan yang cukup ketat yang menargetkan jenis lalu lintas tertentu. Khususnya, lalu lintas dari sistem kontrol industri (SCADA) yang terhubung menggunakan TP-Link R600 VPN, koneksi ke daftar alamat IP yang ditentukan sebelumnya (menunjukkan pengetahuan lanjutan tentang jaringan lain dan lalu lintas yang diinginkan), serta paket data 150 byte atau lebih besar.

Craig William, pemimpin teknologi senior, dan manajer penjangkauan global di Talos, kata Ars, “Mereka mencari hal-hal yang sangat spesifik. Mereka tidak berusaha mengumpulkan lalu lintas sebanyak yang mereka bisa. Mereka mengejar hal-hal tertentu yang sangat kecil seperti kredensial dan kata sandi. Kami tidak memiliki banyak informasi tentang itu selain tampaknya sangat tepat sasaran dan sangat canggih. Kami masih mencoba mencari tahu pada siapa mereka menggunakannya. "

Dari mana asal VPNFilter?

VPNFilter dianggap karya kelompok peretasan yang disponsori negara. Bahwa lonjakan infeksi VPNFilter awal sebagian besar dirasakan di seluruh Ukraina, jari-jari awal menunjuk pada sidik jari yang didukung Rusia dan kelompok peretasan, Fancy Bear.

Namun demikian, kecanggihan malware tidak ada genesis yang jelas dan tidak ada kelompok peretasan, negara-bangsa atau lainnya, telah melangkah maju untuk mengklaim malware tersebut. Mengingat aturan malware yang terperinci dan penargetan SCADA dan protokol sistem industri lainnya, aktor negara-bangsa tampaknya paling mungkin.

Terlepas dari apa yang saya pikirkan, FBI percaya VPNFilter adalah ciptaan Fancy Bear. Pada Mei 2018, FBI merebut domain—ToKnowAll.com — yang diduga telah digunakan untuk menginstal dan memerintahkan malware VPNFilter Tahap 2 dan Tahap 3. Perebutan domain tentu saja membantu menghentikan penyebaran VPNFilter segera, tetapi tidak memutuskan arteri utama; SBU Ukraina menerima serangan VPNFilter di pabrik pemrosesan kimia pada Juli 2018, misalnya.

VPNFilter juga memiliki kemiripan dengan malware BlackEnergy, sebuah Trojan APT yang digunakan terhadap berbagai target Ukraina. Sekali lagi, sementara ini jauh dari bukti lengkap, penargetan sistemik Ukraina terutama berasal dari peretasan kelompok dengan ikatan Rusia.

Apakah Saya Terinfeksi VPNFilter?

Kemungkinannya, router Anda tidak menyimpan malware VPNFilter. Tapi selalu lebih baik aman daripada menyesal:

1. Periksa daftar ini untuk router Anda. Jika Anda tidak ada dalam daftar, semuanya baik-baik saja.
2. Anda dapat menuju ke Symantec VPNFilter Periksa situs. Centang kotak syarat dan ketentuan, lalu tekan tombol Jalankan Pemeriksaan VPNFilter tombol di tengah. Tes selesai dalam beberapa detik.

Saya Terinfeksi VPNFilter: Apa yang Harus Saya Lakukan?

Jika Pemeriksaan Symantec VPNFilter mengonfirmasi bahwa router Anda terinfeksi, Anda memiliki tindakan yang jelas.

1. Setel ulang perute Anda, kemudian jalankan lagi Pemeriksaan VPNFilter.
2. Atur ulang router Anda ke pengaturan pabrik.
3. Unduh firmware terbaru untuk router Anda, dan selesaikan instalasi firmware bersih, lebih disukai tanpa router membuat koneksi online selama proses.

Selanjutnya, Anda perlu menyelesaikan pemindaian sistem penuh pada setiap perangkat yang terhubung ke router yang terinfeksi.

Anda harus selalu mengubah kredensial login default router Anda, serta perangkat IoT atau NAS (Perangkat IoT tidak membuat tugas ini mudah Mengapa Internet of Things Adalah Mimpi Buruk Keamanan TerbesarSuatu hari, Anda tiba di rumah dari kantor untuk menemukan bahwa sistem keamanan rumah berkemampuan cloud Anda telah dilanggar. Bagaimana ini bisa terjadi? Dengan Internet of Things (IoT), Anda bisa mengetahuinya dengan cara yang sulit. Baca lebih banyak ) jika memungkinkan. Juga, meskipun ada bukti bahwa VPNFilter dapat menghindari beberapa firewall, memiliki satu yang diinstal dan dikonfigurasi dengan benar 7 Tips Sederhana untuk Mengamankan Router dan Jaringan Wi-Fi Anda dalam MenitApakah seseorang mengendus dan menguping lalu lintas Wi-Fi Anda, mencuri kata sandi dan nomor kartu kredit Anda? Apakah Anda akan tahu jika seseorang ada? Mungkin tidak, jadi amankan jaringan nirkabel Anda dengan 7 langkah sederhana ini. Baca lebih banyak akan membantu menjaga banyak hal buruk lainnya keluar dari jaringan Anda.

Watch Out for Router Malware!

Malware router semakin umum. Malware dan kerentanan IoT ada di mana-mana, dan dengan jumlah perangkat yang online, hanya akan bertambah buruk. Router Anda adalah titik fokus untuk data di rumah Anda. Namun itu tidak menerima perhatian keamanan hampir sebanyak perangkat lain.

Sederhananya, router Anda tidak aman seperti yang Anda pikirkan 10 Cara Router Anda Tidak Aman seperti yang Anda PikirkanBerikut adalah 10 cara router Anda dapat dieksploitasi oleh peretas dan pembajak nirkabel drive-by. Baca lebih banyak .