วิธีตรวจจับมัลแวร์ VPNFilter ก่อนที่จะทำลายเราเตอร์

มัลแวร์บนเราเตอร์ อุปกรณ์เครือข่าย และInternet of Thingsเป็นเรื่องปกติมากขึ้น ส่วนใหญ่แพร่เชื้อไปยังอุปกรณ์ที่มีช่องโหว่และเป็นของบอตเน็ตที่ทรงพลังมาก เราเตอร์และอุปกรณ์ Internet of Things (IoT) จะมีการจ่ายไฟตลอดเวลา ออนไลน์ตลอดเวลา และรอคำแนะนำ และบอตเน็ตก็ใช้ประโยชน์จากสิ่งนั้นเพื่อโจมตีอุปกรณ์เหล่านี้

แต่ไม่ใช่ว่ามัลแวร์ทั้งหมด ( มัลแวร์ ) จะเหมือนกัน

VPNFilter เป็นมัลแวร์ทำลายล้างที่โจมตีเราเตอร์ อุปกรณ์ IoT และแม้แต่อุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) บางตัว คุณจะตรวจสอบได้อย่างไรว่าอุปกรณ์ของคุณติดมัลแวร์ VPNFilter? และคุณจะกำจัดมันได้อย่างไร? มาดู VPNFilter อย่างละเอียดยิ่งขึ้นในบทความต่อไปนี้

มัลแวร์ VPNFilter คืออะไร? จะกำจัดมันได้อย่างไร?

• VPNFilter คืออะไร?
• VPNFilter สามารถทำอะไรได้บ้าง?
  • แยกที่อยู่ IP ของเซิร์ฟเวอร์
  • มีการกำหนดเป้าหมายการดมแพ็กเก็ต
• VPNFilter มาจากไหน?
• จะทราบได้อย่างไรว่าอุปกรณ์ของคุณติด VPNFilter หรือไม่?
• หากคุณติด VPNFilter คุณควรทำอย่างไร?
• จะหลีกเลี่ยงการติดมัลแวร์ VPNFilter ซ้ำได้อย่างไร
  • อัพเดตเฟิร์มแวร์ของเราเตอร์
  • เปลี่ยนรหัสผ่านเราเตอร์
  • อัพเดตซอฟต์แวร์ป้องกันไวรัส
  • เตรียมพบกับโปรแกรมใหม่!
  • อย่าคลิกโฆษณาป๊อปอัป!

VPNFilter คืออะไร?

VPNFilter เป็นมัลแวร์โมดูลาร์ที่ซับซ้อนซึ่งมีเป้าหมายหลักคืออุปกรณ์เครือข่ายจากผู้ผลิตหลายราย รวมถึงอุปกรณ์ NAS VPNFilter ถูกพบครั้งแรกบน อุปกรณ์เครือข่ายLinksys , MikroTik, NETGEAR และTP-Linkรวมถึงอุปกรณ์ QNAP NAS โดยมีการติดไวรัสประมาณ 500,000 รายใน 54 ประเทศ

ทีมค้นพบ VPNFilter, Cisco Talos ได้อัปเดตรายละเอียดล่าสุดที่เกี่ยวข้องกับมัลแวร์นี้ ซึ่งแสดงให้เห็นว่าอุปกรณ์เครือข่ายจากผู้ผลิตเช่น ASUS, D-Link, Huawei, Ubiquiti, UPVEL และ ZTE กำลังแสดงสัญญาณของการติดไวรัส VPNFilter อย่างไรก็ตาม ในขณะที่เขียนนี้ ไม่มีอุปกรณ์เครือข่ายของ Cisco ได้รับผลกระทบใดๆ

มัลแวร์นี้ไม่เหมือนกับมัลแวร์ที่เน้น IoT อื่นๆ ส่วนใหญ่ เนื่องจากจะยังคงมีอยู่หลังจากระบบรีบูต ทำให้ยากต่อการลบ อุปกรณ์ที่ใช้ข้อมูลรับรองการเข้าสู่ระบบเริ่มต้นหรือมีช่องโหว่แบบ Zero-day (ช่องโหว่ของซอฟต์แวร์คอมพิวเตอร์ที่ไม่รู้จัก) ที่ไม่ได้อัปเดตเฟิร์มแวร์ เป็นประจำ จะมีความเสี่ยงเป็นพิเศษ มากกว่า

VPNFilter สามารถทำอะไรได้บ้าง?

VPNFilter เป็น "หลายโมดูล ข้ามแพลตฟอร์ม" ที่สามารถสร้างความเสียหายและทำลายอุปกรณ์ได้ นอกจากนี้ยังอาจกลายเป็นภัยคุกคามที่น่ากังวลในการรวบรวมข้อมูลผู้ใช้อีกด้วย VPNFilter ทำงานได้หลายขั้นตอน

ระยะที่ 1 : VPNFilter ในระยะที่ 1 จะสร้างไซต์ลงจอดบนอุปกรณ์ ติดต่อเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) เพื่อดาวน์โหลดโมดูลเพิ่มเติม และรอคำแนะนำ ระยะที่ 1 ยังมีเหตุฉุกเฉินในตัวหลายประการเพื่อวางตำแหน่ง C&C ระยะที่ 2 ในกรณีที่มีการเปลี่ยนแปลงโครงสร้างพื้นฐานระหว่างการดำเนินการ มัลแวร์ VPNFilter ระดับ 1 สามารถรอดจากการรีบูตได้ ทำให้เป็นภัยคุกคามที่อันตรายมาก

ขั้นตอนที่ 2 : VPNFilter ในขั้นตอนที่ 2 จะไม่คงอยู่หลังจากรีบูต แต่มีความสามารถมากมายในขั้นตอนนี้ ระยะที่ 2 สามารถรวบรวมข้อมูลส่วนบุคคล ดำเนินการคำสั่ง และรบกวนการจัดการอุปกรณ์ นอกจากนี้ ยังมีเวอร์ชันต่างๆ ของเฟส 2 ในทางปฏิบัติอีกด้วย บางเวอร์ชันมีการติดตั้งโมดูลทำลายล้างซึ่งจะเขียนทับพาร์ติชันของเฟิร์มแวร์อุปกรณ์ จากนั้นรีบูตเพื่อทำให้อุปกรณ์ใช้งานไม่ได้ (โดยพื้นฐานแล้วคือปิดใช้งานมัลแวร์) การกำหนดค่า เราเตอร์ อุปกรณ์ IoT หรือ NAS )

ระยะที่ 3 : โมดูล VPNFilter ในเฟส 3 ทำหน้าที่เป็นปลั๊กอินสำหรับเฟส 2 ซึ่งขยายการทำงานของ VPNFilter โมดูลที่ทำหน้าที่เป็นตัวดมกลิ่นแพ็กเก็ตรวบรวมการรับส่งข้อมูลขาเข้าบนอุปกรณ์และขโมยข้อมูลรับรองการเข้าสู่ระบบ อีกประเภทหนึ่งอนุญาตให้มัลแวร์ระยะที่ 2 สื่อสารอย่างปลอดภัยโดยใช้Tor Cisco Talos ยังพบโมดูลที่แทรกเนื้อหาที่เป็นอันตรายเข้าไปในการรับส่งข้อมูลที่ส่งผ่านอุปกรณ์ ซึ่งหมายความว่าแฮกเกอร์สามารถใช้ประโยชน์จากอุปกรณ์ที่เชื่อมต่ออื่น ๆ ผ่านเราเตอร์, IoT หรืออุปกรณ์ NAS ต่อไป

นอกจากนี้ โมดูล VPNFilter “ช่วยให้สามารถขโมยข้อมูลประจำตัวของเว็บไซต์และการตรวจสอบโปรโตคอล Modbus SCADA”

แยกที่อยู่ IP ของเซิร์ฟเวอร์

คุณสมบัติที่น่าสนใจอีกประการหนึ่ง (แต่ไม่ได้ค้นพบใหม่) ของมัลแวร์ VPNFilter คือการใช้บริการแบ่งปันรูปภาพออนไลน์เพื่อค้นหาที่อยู่ IPสำหรับเซิร์ฟเวอร์ C&C การวิเคราะห์ Talos พบว่ามัลแวร์ชี้ไปที่ชุดของ URL ของ Photobucket มัลแวร์จะดาวน์โหลดรูปภาพแรกในแกลเลอรีอ้างอิง URL และแยกที่อยู่ IP ของเซิร์ฟเวอร์ ที่ซ่อนอยู่ในข้อมูลเมตาของรูปภาพ

ที่อยู่ IP “ดึงมาจากค่าจำนวนเต็ม 6 ค่าสำหรับละติจูดและลองจิจูด GPS ใน ข้อมูล EXIF ​​​​” หากไม่สำเร็จ มัลแวร์ระยะที่ 1 จะกลับสู่โดเมนปกติ (toknowall.com - มีรายละเอียดเพิ่มเติมด้านล่าง) เพื่อดาวน์โหลดภาพและพยายามดำเนินการแบบเดียวกัน

มีการกำหนดเป้าหมายการดมแพ็กเก็ต

รายงานการอัปเดตของ Talos แสดงรายละเอียดที่น่าสนใจเกี่ยวกับโมดูลการดมแพ็กเก็ต VPNFilter แทนที่จะรบกวนทุกสิ่งทุกอย่าง กลับมีชุดกฎที่เข้มงวด โดยกำหนดเป้าหมายไปที่ประเภทการเข้าชมที่เฉพาะเจาะจง โดยเฉพาะการรับส่งข้อมูลจากระบบควบคุมอุตสาหกรรม (SCADA) โดยใช้ TP-Link R600 VPN เชื่อมต่อกับรายการที่อยู่ IP ที่กำหนดไว้ล่วงหน้า (บ่งบอกถึงความรู้ขั้นสูงเกี่ยวกับเครือข่าย) และการรับส่งข้อมูลที่ต้องการ) รวมถึงแพ็กเก็ตข้อมูลขนาด 150 ไบต์หรือ ใหญ่กว่า

“VPNFilter กำลังมองหาสิ่งที่เฉพาะเจาะจงมาก” Craig William หัวหน้าฝ่ายเทคโนโลยีอาวุโสและผู้จัดการการเข้าถึงระดับโลกของ Talos กล่าวกับ Ars พวกเขาไม่ได้พยายามรวบรวมปริมาณการเข้าชมมากที่สุดเท่าที่จะเป็นไปได้ พวกเขาพยายามรับสิ่งเล็กๆ น้อยๆ เท่านั้น เช่น ข้อมูลการเข้าสู่ระบบและรหัสผ่าน เราไม่มีข้อมูลมากนักเกี่ยวกับเรื่องนั้น นอกจากรู้ว่ามันตรงเป้าหมายและซับซ้อนมาก เรายังคงพยายามค้นหาว่าพวกเขานำวิธีนี้ไปใช้กับใครบ้าง”

VPNFilter มาจากไหน?

เชื่อกันว่า VPNFilter เป็นผลงานของกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ การติดเชื้อ VPNFilter ถูกค้นพบครั้งแรกในยูเครน และหลายแหล่งเชื่อว่าเป็นผลงานของกลุ่มแฮ็กเกอร์ Fancy Bear ที่ได้รับการสนับสนุนจากรัสเซีย

อย่างไรก็ตาม ไม่มีประเทศหรือกลุ่มแฮ็กเกอร์รายใดอ้างความรับผิดชอบต่อมัลแวร์นี้ เมื่อพิจารณากฎโดยละเอียดและกำหนดเป้าหมายของมัลแวร์สำหรับ SCADA และโปรโตคอลระบบอุตสาหกรรมอื่น ๆ ทฤษฎีที่ว่าซอฟต์แวร์ได้รับการสนับสนุนจากรัฐชาติดูเหมือนจะเป็นไปได้มากที่สุด

อย่างไรก็ตาม FBI เชื่อว่า VPNFilter เป็นผลิตภัณฑ์ของ Fancy Bear ในเดือนพฤษภาคม ปี 2018 FBI ได้ยึดโดเมน ToKnowAll.com ซึ่งเชื่อกันว่าถูกใช้เพื่อติดตั้งและควบคุมมัลแวร์ VPNFilter ระยะที่ 2 และระยะที่ 3 การยึดโดเมนนี้มีแนวโน้มว่าจะช่วยหยุดการแพร่กระจายของ VPNFilter ในทันทีได้อย่างแน่นอน แต่ ไม่ได้แก้ปัญหาได้อย่างสมบูรณ์ บริการรักษาความปลอดภัยของประเทศยูเครน (SBU) ป้องกันการโจมตี VPNFilter ในโรงงานแปรรูปสารเคมีในเดือนกรกฎาคม 2018

VPNFilter ยังมีความคล้ายคลึงกับมัลแวร์ BlackEnergy ซึ่งเป็นโทรจัน APT ที่ใช้กับเป้าหมายต่างๆ ในยูเครน เป็นอีกครั้งที่แม้จะไม่มีหลักฐานแน่ชัด แต่การโจมตีที่มุ่งเป้าไปที่ระบบของยูเครนส่วนใหญ่มาจากกลุ่มแฮ็กเกอร์ที่มีความสัมพันธ์ใกล้ชิดกับรัสเซีย

จะทราบได้อย่างไรว่าอุปกรณ์ของคุณติด VPNFilter หรือไม่?

มีโอกาสที่เราเตอร์ของคุณจะไม่ติดมัลแวร์ VPNFilter แต่ยังดีกว่าที่จะตรวจสอบให้แน่ใจว่าอุปกรณ์ของคุณปลอดภัย:

ตรวจสอบเราเตอร์ของคุณด้วยลิงก์: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malwareหากอุปกรณ์ของคุณไม่อยู่ในรายการ ทุกอย่างก็เรียบร้อยดี

คุณสามารถเยี่ยมชมหน้าทดสอบ VPNFilter ของ Symantec: http://www.symantec.com/filtercheck/ทำเครื่องหมายในช่องข้อกำหนดและเงื่อนไข จากนั้นกด ปุ่ม Run VPNFilter Checkที่อยู่ตรงกลาง การทดสอบจะเสร็จสิ้นภายในไม่กี่วินาที

หากคุณติด VPNFilter คุณควรทำอย่างไร?

หาก Symantec VPNFilter Check ยืนยันว่าเราเตอร์ของคุณติด VPNFilter คุณต้องดำเนินการต่อไปนี้

• รีเซ็ตเราเตอร์ของคุณ จากนั้นเรียกใช้ VPNFilter Check อีกครั้ง
• รีเซ็ตเราเตอร์ของคุณเป็นการตั้งค่าจากโรงงาน
• ดาวน์โหลดเฟิร์มแวร์ล่าสุดสำหรับเราเตอร์และทำการติดตั้งเฟิร์มแวร์ "ใหม่ทั้งหมด" โดยควรไม่มีเราเตอร์ทำการเชื่อมต่อออนไลน์ในระหว่างกระบวนการ

นอกจากนี้ คุณต้องทำการสแกนระบบทั้งหมดบนอุปกรณ์แต่ละเครื่องที่เชื่อมต่อกับเราเตอร์ที่ติดไวรัส VPNFilter

วิธีที่มีประสิทธิภาพที่สุดในการลบมัลแวร์ VPNFilter คือการใช้ซอฟต์แวร์ป้องกันไวรัสและแอปพลิเคชันกำจัดมัลแวร์ เครื่องมือทั้งสองสามารถตรวจจับไวรัสนี้ได้ก่อนที่จะแพ��่ระบาดในคอมพิวเตอร์และเราเตอร์ของคุณ

ซอฟต์แวร์ป้องกันไวรัสอาจใช้เวลาหลายชั่วโมงในการดำเนินการให้เสร็จสิ้น ขึ้นอยู่กับความเร็วของคอมพิวเตอร์ของคุณ แต่ยังให้วิธีที่ดีที่สุดในการลบไฟล์ที่เป็นอันตรายอีกด้วย

นอกจากนี้ ยังควรค่าแก่การติดตั้งเครื่องมือกำจัดมัลแวร์ ซึ่งจะตรวจจับมัลแวร์อย่าง VPNFilter และกำจัดมันก่อนที่มันจะเกิดปัญหาใดๆ

เช่นเดียวกับซอฟต์แวร์ป้องกันไวรัส กระบวนการสแกนมัลแวร์อาจใช้เวลาหลายชั่วโมง ขึ้นอยู่กับขนาดของฮาร์ดไดรฟ์ของคอมพิวเตอร์ของคุณ รวมถึงความเร็วด้วย

เช่นเดียวกับไวรัสอื่นๆ คุณต้องลบมัลแวร์ VPNFilter ออกจากเราเตอร์ของคุณด้วย ในการดำเนินการนี้ คุณจะต้องรีเซ็ตเราเตอร์เป็นการตั้งค่าเริ่มต้นจากโรงงาน

เราเตอร์ฮาร์ดรีเซ็ตกำหนดให้คุณต้องรีเซ็ตเราเตอร์ตั้งแต่ต้น รวมถึงการสร้างรหัสผ่านผู้ดูแลระบบใหม่และการตั้งค่าเครือข่ายไร้สายสำหรับอุปกรณ์ทั้งหมด จะใช้เวลาพอสมควรในการทำอย่างถูกต้อง

คุณควรเปลี่ยนข้อมูลรับรองเริ่มต้นของเราเตอร์ของคุณตลอดจนอุปกรณ์ IoT หรือ NAS ใดๆ เสมอ (การทำงานนี้ไม่ใช่เรื่องง่ายบนอุปกรณ์ IoT) หากเป็นไปได้ นอกจากนี้ แม้ว่าจะมีหลักฐานว่า VPNFilter สามารถเลี่ยงไฟร์วอลล์ บางตัว ได้ แต่การติดตั้งและกำหนดค่าไฟร์วอลล์อย่างเหมาะสมจะยังคงช่วยป้องกันสิ่งเลวร้ายอื่นๆ อีกมากมายออกจากเครือข่ายของคุณ

วิธีที่มีประสิทธิภาพที่สุดในการลบมัลแวร์ VPNFilter คือการใช้ซอฟต์แวร์ป้องกันไวรัส

จะหลีกเลี่ยงการติดมัลแวร์ VPNFilter ซ้ำได้อย่างไร

มีวิธีสำคัญสองสามวิธีที่คุณสามารถลดความเสี่ยงในการติดไวรัสอีกครั้งด้วย VPNFilter (หรือไวรัสอื่นๆ) รวมถึงเคล็ดลับเฉพาะที่เกี่ยวข้องโดยตรงกับ VPNFilter

อัพเดตเฟิร์มแวร์ของเราเตอร์

เราเตอร์ที่อัปเดตได้รับการปกป้องจากมัลแวร์ VPNFilter รวมถึงภัยคุกคามความปลอดภัยอื่นๆ อย่าลืมอัปเดตโดยเร็วที่สุด

เปลี่ยนรหัสผ่านเราเตอร์

อย่าใช้รหัสผ่านเริ่มต้นที่กำหนดโดยผู้ผลิตเราเตอร์สร้างรหัสผ่านของคุณเองที่แข็งแกร่งและมีโอกาสน้อยที่จะถูกโจมตีจากผู้ไม่ประสงค์ดี

อัพเดตซอฟต์แวร์ป้องกันไวรัส

อัพเดทโปรแกรมป้องกันไวรัสและมัลแวร์ของคุณให้ทันสมัยอยู่เสมอ คำจำกัดความของไวรัสใหม่จะมีการเผยแพร่เป็นประจำ และสิ่งเหล่านี้จะทำให้พีซีของคุณทราบเกี่ยวกับภัยคุกคามไวรัสและมัลแวร์ใหม่ๆ ที่ควรค้นหา

เตรียมพบกับโปรแกรมใหม่!

สิ่งสำคัญคือต้องทราบแหล่งที่มาของโปรแกรมและแอปพลิเคชันที่คุณดาวน์โหลดอย่างชัดเจน เว็บไซต์ที่มีชื่อเสียงน้อยกว่าจะมีส่วนเสริมมากมายที่คุณไม่ต้องการ เช่น VPNFilter

อย่าคลิกโฆษณาป๊อปอัป!

เมื่อแบนเนอร์ปรากฏขึ้นในขณะที่คุณเรียกดูเว็บไซต์ อย่าคลิกแบนเนอร์นั้น โดยปกติแล้ว วิธีที่ปลอดภัยที่สุดคือไปที่เว็บไซต์อื่น ไม่ใช่เว็บไซต์ที่เต็มไปด้วยโฆษณาป๊อปอัป

มัลแวร์บนเราเตอร์ได้รับความนิยมเพิ่มมากขึ้น ช่องโหว่ของมัลแวร์และ IoT มีอยู่ทุกหนทุกแห่ง และด้วยจำนวนอุปกรณ์ออนไลน์ที่เพิ่มขึ้นเรื่อยๆ สถานการณ์ก็ยิ่งแย่ลงเท่านั้น เราเตอร์คือจุดโฟกัสของข้อมูลในบ้านของคุณ อย่างไรก็ตาม มันไม่ได้รับความสนใจด้านความปลอดภัยมากเท่ากับอุปกรณ์อื่นๆ พูดง่ายๆ ก็คือ เราเตอร์ไม่ปลอดภัยเท่าที่คุณคิด

ดูเพิ่มเติม:

• ขั้นตอนในการลบมัลแวร์ 9o0gle ดอทคอม
• วิธีจดจำคอมพิวเตอร์ที่ติดไวรัสด้วยสัญญาณลักษณะ 10 ประการ