ルーターを破壊する前にVPNFilterマルウェアを見つける方法

ルーターを破壊する前にVPNFilterマルウェアを見つける方法

ルーター、ネットワークデバイス、モノのインターネットマルウェアはますます一般的になっています。ほとんどの場合、脆弱なデバイスに感染し、それらを強力なボットネットに追加することに重点が置かれています。ルーターとモノのインターネット(IoT)デバイスは常に電源が入っており、常にオンラインであり、指示を待っています。それなら、完璧なボットネット飼料。





しかし、すべてのマルウェアが同じというわけではありません。



VPNFilterは、ルーター、IoTデバイス、さらには一部のネットワーク接続ストレージ(NAS)デバイスに対する破壊的なマルウェアの脅威です。 VPNFilterマルウェア感染をどのようにチェックしますか?そして、どうすればそれをクリーンアップできますか? VPNFilterを詳しく見てみましょう。





VPNFilterとは何ですか?

VPNFilterは、NASデバイスだけでなく、さまざまなメーカーのネットワークデバイスを主に対象とする高度なモジュラーマルウェアの亜種です。 VPNFilterは、Linksys、MikroTik、NETGEAR、TP-Linkネットワークデバイス、およびQNAP NASデバイスで最初に発見され、54か国で約500,000件の感染がありました。

NS VPNFilterを発見したチーム 、Cisco Talos、 最近更新された詳細 マルウェアに関しては、ASUS、D-Link、Huawei、Ubiquiti、UPVEL、ZTEなどのメーカーのネットワーク機器がVPNFilter感染を示していることを示しています。ただし、執筆時点では、Ciscoネットワークデバイスは影響を受けません。



このマルウェアは、システムの再起動後も存続し、根絶するのが難しいため、他のほとんどのIoTに焦点を当てたマルウェアとは異なります。デフォルトのログインクレデンシャルを使用しているデバイス、またはファームウェアアップデートを受信して​​いない既知のゼロデイ脆弱性を持つデバイスは特に脆弱です。

外付けハードドライブのウィンドウが表示されない10

VPNFilterは何をしますか?

したがって、VPNFilterは、デバイスに破壊的な損傷を与える可能性のある「多段のモジュラープラットフォーム」です。さらに、データ収集の脅威としても機能する可能性があります。 VPNFilterはいくつかの段階で機能します。



ステージ1: VPNFilterステージ1は、デバイス上にビーチヘッドを確立し、そのコマンドアンドコントロールサーバー(C&C)に接続して、追加のモジュールをダウンロードし、指示を待ちます。ステージ1には、展開中にインフラストラクチャが変更された場合にステージ2のC&Cを見つけるための複数の冗長性も組み込まれています。ステージ1VPNFilterマルウェアは、再起動後も存続できるため、強力な脅威になります。

ステージ2: VPNFilter Stage 2は再起動しても持続しませんが、より幅広い機能が備わっています。ステージ2は、プライベートデータを収集し、コマンドを実行し、デバイス管理を妨害する可能性があります。また、実際にはステージ2のさまざまなバージョンがあります。一部のバージョンには、デバイスファームウェアのパーティションを上書きしてから再起動してデバイスを使用できなくする破壊的なモジュールが装備されています(マルウェアは基本的にルーター、IoT、またはNASデバイスをブリックします)。



ステージ3: VPNFilter Stage 3モジュールは、Stage 2のプラグインのように機能し、VPNFilterの機能を拡張します。 1つのモジュールは、デバイス上の着信トラフィックを収集し、資格情報を盗むパケットスニファとして機能します。もう1つは、ステージ2マルウェアがTorを使用して安全に通信できるようにします。 Cisco Talosは、デバイスを通過するトラフィックに悪意のあるコンテンツを挿入する1つのモジュールも発見しました。これは、ハッカーがルーター、IoT、またはNASデバイスを介して他の接続デバイスにさらにエクスプロイトを配信できることを意味します。

さらに、VPNFilterモジュールは、「Webサイトの資格情報の盗難とModbusSCADAプロトコルの監視を可能にします。」

写真共有メタ

VPNFilterマルウェアのもう1つの興味深い(しかし新しく発見されたわけではない)機能は、オンライン写真共有サービスを使用してC&CサーバーのIPアドレスを見つけることです。 Talosの分析では、マルウェアが一連のPhotobucketURLを指していることがわかりました。マルウェアは、URLが参照するギャラリーの最初の画像をダウンロードし、画像メタデータ内に隠されているサーバーIPアドレスを抽出します。

IPアドレスは、EXIF情報のGPS緯度と経度の6つの整数値から抽出されます。それが失敗した場合、ステージ1マルウェアは通常のドメイン(toknowall.com ---これについては以下で詳しく説明します)にフォールバックして、イメージをダウンロードし、同じプロセスを試行します。

ターゲットパケットスニッフィング

更新されたTalosレポートは、VPNFilterパケットスニッフィングモジュールに関するいくつかの興味深い洞察を明らかにしました。すべてを単にホバリングするのではなく、特定のタイプのトラフィックを対象とするかなり厳格なルールのセットがあります。具体的には、TP-Link R600 VPNを使用して接続する産業用制御システム(SCADA)からのトラフィック、事前定義されたIPアドレスのリストへの接続(他のネットワークと望ましいトラフィックに関する高度な知識を示す)、および150バイトのデータパケット以上。

Talosのシニアテクノロジーリーダーであり、グローバルアウトリーチマネージャーであるCraig Williamは、 アルスに言った 、 '彼らは非常に具体的なものを探しています。彼らはできるだけ多くのトラフィックを集めようとはしていません。彼らは、クレデンシャルやパスワードのような特定の非常に小さなものを求めています。それが信じられないほどターゲットにされ、信じられないほど洗練されているように見えることを除いて、私たちはそれについて多くの情報を持っていません。私たちはまだ彼らがそれを誰に使っているのかを解明しようとしています。」

VPNFilterはどこから来たのですか?

VPNFilterは、国が後援するハッキンググループの仕事であると考えられています。最初のVPNFilter感染の急増は主にウクライナ全体で感じられ、最初の指はロシアが支援する指紋とハッキンググループのFancyBearを指しています。

ただし、これはマルウェアの高度化であり、明確な起源はなく、国家やその他のハッキンググループがマルウェアを主張するために前進したことはありません。詳細なマルウェアルールとSCADAおよびその他の産業用システムプロトコルのターゲティングを考えると、国民国家の攻撃者が最も可能性が高いように思われます。

私の考えに関係なく、FBIはVPNFilterがファンシーベアの作品であると信じています。 2018年5月、FBI ドメインを押収した --- ToKnowAll.com ---ステージ2およびステージ3のVPNFilterマルウェアのインストールとコマンドに使用されたと考えられていました。ドメインの差し押さえは確かにVPNFilterの即時の広がりを止めるのに役立ちましたが、主要な動脈を切断しませんでした。ウクライナのSBUは、2018年7月に化学処理プラントに対するVPNFilter攻撃を取り下げました。

WindowsにUSBをインストールさせる方法

VPNFilterは、さまざまなウクライナのターゲットに対して使用されているAPTトロイの木馬であるBlackEnergyマルウェアとも類似しています。繰り返しになりますが、これは完全な証拠にはほど遠いですが、ウクライナの体系的な標的化は、主にロシアとの関係を持つグループをハッキングすることから生じています。

VPNFilterに感染していますか?

ルーターにVPNFilterマルウェアが含まれていない可能性があります。しかし、後悔するよりも安全である方が常に良いです:

  1. このリストを確認してください あなたのルーターのために。リストに載っていなくても大丈夫です。
  2. Symantec VPNFilterCheckサイトにアクセスできます。利用規約のチェックボックスをオンにしてから、 VPNFilterチェックを実行します 真ん中のボタン。テストは数秒で完了します。

VPNFilterに感染しています:どうすればよいですか?

Symantec VPNFilter Checkによってルーターが感染していることが確認された場合は、明確な行動方針があります。

  1. ルーターをリセットしてから、VPNFilterチェックを再度実行してください。
  2. ルーターを工場出荷時の設定にリセットします。
  3. ルーターの最新のファームウェアをダウンロードし、クリーンなファームウェアのインストールを完了します。できれば、プロセス中にルーターがオンライン接続を行わないようにします。

これに加えて、感染したルーターに接続されている各デバイスでシステム全体のスキャンを完了する必要があります。

可能であれば、ルーターのデフォルトのログインクレデンシャルと、IoTまたはNASデバイス(IoTデバイスではこのタスクが簡単になりません)を常に変更する必要があります。また、VPNFilterが一部のファイアウォールを回避できるという証拠はありますが、 1つをインストールし、適切に構成する 他の多くの厄介なものをネットワークから遠ざけるのに役立ちます。

ルーターのマルウェアに注意してください!

ルーターマルウェアはますます一般的になっています。 IoTマルウェアと脆弱性はいたるところにあり、オンラインになるデバイスの数が増えるにつれ、悪化するだけです。あなたのルーターはあなたの家のデータの焦点です。それでも、他のデバイスほどセキュリティ上の注意は払われていません。

簡単に言えば、あなたのルーターはあなたが思うように安全ではありません。

共有 共有 つぶやき Eメール スピーチをアニメーション化するためのビギナーズガイド

スピーチのアニメーション化は難しい場合があります。プロジェクトにダイアログを追加する準備ができたら、プロセスを分解します。

次を読む 関連トピック
  • 安全
  • ルーター
  • オンラインセキュリティ
  • モノのインターネット
  • マルウェア
著者について ギャビンフィリップス(945件の記事が公開されました)

Gavinは、Windows and Technology Explainedのジュニアエディターであり、Really Useful Podcastの定期的な寄稿者であり、定期的な製品レビュー担当者です。彼は、デボンの丘から略奪されたデジタルアートプラクティスを備えたBA(Hons)現代ライティングと、10年以上のプロのライティング経験を持っています。彼はお茶、ボードゲーム、サッカーをたくさん楽しんでいます。

Windows7でRAMを解放する方法
ギャビンフィリップスからもっと

ニュースレターを購読する

ニュースレターに参加して、技術的なヒント、レビュー、無料の電子書籍、限定セールを入手してください。

購読するにはここをクリックしてください