So identifizieren und beheben Sie VPNFilter-Malware jetzt (03.28.24)

Nicht alle Malware ist gleich. Ein Beweis dafür ist die Existenz von VPNFilter-Malware, einer neuen Art von Router-Malware mit zerstörerischen Eigenschaften. Ein besonderes Merkmal ist, dass es im Gegensatz zu den meisten anderen Bedrohungen des Internets der Dinge (IoT) einen Neustart übersteht.

Dieser Artikel führt Sie durch die Identifizierung der VPNFilter-Malware sowie ihrer Zielliste. Wir zeigen Ihnen auch, wie Sie verhindern können, dass Ihr System von vornherein Schaden anrichtet.

Was ist VPNFilter-Malware?

Stellen Sie sich VPNFilter als zerstörerische Malware vor, die Router, IoT-Geräte und sogar Netzwerkgeräte bedroht Speichergeräte (NAS). Es gilt als ausgeklügelte modulare Malware-Variante, die hauptsächlich auf Netzwerkgeräte verschiedener Hersteller abzielt.

Anfänglich wurde die Malware auf Netzwerkgeräten von Linksys, NETGEAR, MikroTik und TP-Link erkannt. Es wurde auch in QNAP NAS-Geräten entdeckt. Bis heute gibt es etwa 500.000 Infektionen in 54 Ländern, was die enorme Reichweite und Präsenz demonstriert.

Cisco Talos, das Team, das VPNFilter entlarvt hat, bietet einen ausführlichen Blog-Beitrag über die Malware und technische Details. So wie es aussieht, weisen Netzwerkgeräte von ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti und ZTE Anzeichen einer Infektion auf.

Im Gegensatz zu den meisten anderen IoT-gerichteten Malware ist VPNFilter schwer zu entfernen, da es bleibt auch nach einem Systemneustart bestehen. Als anfällig für seine Angriffe erweisen sich Geräte, die ihre Standard-Anmeldedaten verwenden, oder Geräte mit bekannten Zero-Day-Schwachstellen, die noch keine Firmware-Updates erhalten haben.

Geräte, die bekanntermaßen von VPNFilter-Malware betroffen sind

Es ist bekannt, dass sowohl Router von Unternehmen als auch kleine Büros oder Heimbüros ein Ziel dieser Malware sind. Beachten Sie die folgenden Router-Marken und -Modelle:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Nut
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Upvel-Geräte -unbekannte Modelle
  • ZTE-Geräte ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • Andere QNAP NAS-Geräte mit QTS-Software

Ein gemeinsamer Nenner der meisten Zielgeräte ist die Verwendung von Standardanmeldeinformationen. Sie haben auch bekannte Exploits, insbesondere für ältere Versionen.

Was macht VPNFilter-Malware mit infizierten Geräten?

VPNFilter funktioniert, um lähmende Schäden an betroffenen Geräten zu verursachen und dient als Datenerfassungsmethode. Es funktioniert in drei Phasen:

Phase 1

Dies markiert die Installation und Aufrechterhaltung einer dauerhaften Präsenz auf einem Zielgerät. Die Malware kontaktiert einen Command and Control (C&C)-Server, um zusätzliche Module herunterzuladen und auf Anweisungen zu warten. In dieser Phase gibt es mehrere integrierte Redundanzen, um Phase 2-C&Cs zu lokalisieren, falls während der Bereitstellung der Bedrohung eine Infrastrukturänderung auftritt. Stufe 1 VPNFilter kann einem Neustart standhalten.

Stufe 2

Dies enthält die Hauptnutzlast. Es kann zwar nicht über einen Neustart hinweg bestehen, verfügt jedoch über mehr Funktionen. Es ist in der Lage, Dateien zu sammeln, Befehle auszuführen und Datenexfiltration und Geräteverwaltung durchzuführen. Die Malware setzt ihre zerstörerischen Wirkungen fort und kann das Gerät „zu Ziegelsteinen“ bringen, sobald sie einen Befehl von Angreifern erhält. Dies geschieht durch Überschreiben eines Teils der Gerätefirmware und anschließendem Neustart. Die kriminellen Handlungen machen das Gerät unbrauchbar.

Stufe 3

Davon existieren mehrere bekannte Module, die als Plugins für Stufe 2 fungieren. Diese umfassen einen Paket-Sniffer, um den durch das Gerät geleiteten Datenverkehr auszuspionieren, was den Diebstahl von Website-Anmeldeinformationen und Verfolgung von Modbus SCADA-Protokollen. Ein weiteres Modul lässt Stage 2 sicher über Tor kommunizieren. Basierend auf der Untersuchung von Cisco Talos stellt ein Modul bösartige Inhalte für den Datenverkehr bereit, der das Gerät passiert. Auf diese Weise können Angreifer verbundene Geräte weiter beeinflussen.

Am 6. Juni wurden zwei weitere Module der Stufe 3 freigelegt. Der erste heißt „ssler“ und kann den gesamten Datenverkehr über Port 80 abfangen. Er ermöglicht Angreifern, den Webdatenverkehr anzuzeigen und abzufangen, um Man-in-the-Middle-Angriffe auszuführen. Es kann beispielsweise HTTPS-Anfragen in HTTP-Anfragen ändern und vermeintlich verschlüsselte Daten unsicher senden. Der zweite wird „dstr“ genannt und enthält einen Kill-Befehl für jedes Modul der Stufe 2, dem diese Funktion fehlt. Nach der Ausführung entfernt es alle Spuren der Malware, bevor es das Gerät blockiert.

Hier sind sieben weitere Module der Stufe 3, die am 26. September enthüllt wurden:
  • htpx – Es funktioniert genau wie ssler, Umleitung und Überprüfung des gesamten HTTP-Datenverkehrs, der durch das infizierte Gerät geht, um alle ausführbaren Windows-Dateien zu identifizieren und zu protokollieren. Es kann ausführbare Dateien trojanisieren, während sie infizierte Router passieren, wodurch Angreifer Malware auf verschiedenen Computern installieren können, die mit demselben Netzwerk verbunden sind.
  • ndbr – Dies gilt als multifunktionales SSH-Tool.
  • nm – Dieses Modul ist eine Netzwerk-Mapping-Waffe zum Scannen des lokalen Subnetzes .
  • netfilter – Dieses Denial-of-Service-Dienstprogramm kann den Zugriff auf einige verschlüsselte Apps blockieren.
  • Portweiterleitung – Es leitet den Netzwerkverkehr weiter von Angreifern bestimmten Infrastrukturen.
  • socks5proxy – Ermöglicht die Einrichtung eines SOCKS5-Proxys auf anfälligen Geräten.
Ursprünge von VPNFilter enthüllt

Das Malware ist wahrscheinlich das Werk einer staatlich geförderten Hacking-Einheit. Erste Infektionen waren vor allem in der Ukraine zu spüren, was leicht der Hackergruppe Fancy Bear und von Russland unterstützten Gruppen zugeschrieben werden kann.

Dies veranschaulicht jedoch die ausgeklügelte Natur von VPNFilter. Es kann nicht mit einer eindeutigen Herkunft und einer bestimmten Hackergruppe in Verbindung gebracht werden, und es muss noch jemand vortreten, um die Verantwortung dafür zu übernehmen. Es wird über einen nationalen Sponsor spekuliert, da SCADA neben anderen industriellen Systemprotokollen umfassende Malware-Regeln und -Targeting hat.

Wenn Sie jedoch das FBI fragen, ist VPNFilter die Idee von Fancy Bear. Bereits im Mai 2018 beschlagnahmte die Agentur die Domain ToKnowAll.com, von der angenommen wurde, dass sie bei der Installation und Leitung von Stage 2 und 3 VPNFilter eine entscheidende Rolle spielt. Die Beschlagnahme half dabei, die Verbreitung der Malware zu stoppen, konnte jedoch das Hauptbild nicht bekämpfen.

In seiner Ankündigung vom 25. Mai fordert das FBI die Benutzer dringend auf, ihre WLAN-Router zu Hause neu zu starten, um einen großen Malware-Angriff im Ausland zu stoppen. Zu dieser Zeit identifizierte die Behörde ausländische Cyberkriminelle für die Kompromittierung von WLAN-Router in kleinen Büros und zu Hause – zusammen mit anderen Netzwerkgeräten – zu Hunderttausenden.

Ich bin nur ein gewöhnlicher Benutzer – Was bedeutet der VPNFilter-Angriff? Ich?

Die gute Nachricht ist, dass Ihr Router wahrscheinlich keine schädliche Malware enthält, wenn Sie die oben bereitgestellte VPNFilter-Routerliste überprüft haben. Aber es ist immer am besten, auf Nummer sicher zu gehen. Symantec führt zum einen den VPNFilter Check durch, damit Sie testen können, ob Sie betroffen sind oder nicht. Es dauert nur wenige Sekunden, um die Prüfung durchzuführen.

Nun, hier ist die Sache. Was ist, wenn Sie tatsächlich infiziert sind? Gehen Sie wie folgt vor:
  • Setzen Sie Ihren Router zurück. Führen Sie als nächstes den VPNFilter Check erneut aus.
  • Setzen Sie Ihren Router auf die Werkseinstellungen zurück.
  • Erwägen Sie, alle Fernverwaltungseinstellungen auf Ihrem Gerät zu deaktivieren.
  • Laden Sie die aktuellste Firmware für Ihren Router herunter. Führen Sie eine saubere Firmware-Installation durch, idealerweise ohne dass der Router während des Vorgangs eine Online-Verbindung herstellt.
  • Führen Sie einen vollständigen Systemscan auf Ihrem Computer oder Gerät durch, das mit dem infizierten Router verbunden ist. Vergessen Sie nicht, ein zuverlässiges PC-Optimierungstool für die Zusammenarbeit mit Ihrem vertrauenswürdigen Malware-Scanner zu verwenden.
  • Sichern Sie Ihre Verbindungen. Schützen Sie sich mit einem hochwertigen kostenpflichtigen VPN mit einer Erfolgsbilanz in Bezug auf erstklassigen Online-Datenschutz und -Sicherheit.
  • Gewöhnen Sie sich an, die Standard-Anmeldedaten Ihres Routers sowie anderer IoT- oder NAS-Geräte zu ändern .
  • Lass eine Firewall installiert und richtig konfiguriert sein, um schädliche Inhalte aus deinem Netzwerk fernzuhalten.
  • Schütze deine Geräte mit strongen, einzigartigen Passwörtern.
  • Verschlüsselung aktivieren .

Wenn Ihr Router möglicherweise betroffen ist, sollten Sie auf der Website des Herstellers nach neuen Informationen und Maßnahmen zum Schutz Ihrer Geräte suchen. Dies ist ein sofortiger Schritt, da alle Ihre Informationen über Ihren Router laufen. Wenn ein Router kompromittiert wird, stehen die Privatsphäre und die Sicherheit Ihrer Geräte auf dem Spiel.

Zusammenfassung

Die VPNFilter-Malware könnte in letzter Zeit auch eine der stärksten und unzerstörbarsten Bedrohungen sein, die Router in Unternehmen und kleinen Büros oder zu Hause trifft Geschichte. Es wurde ursprünglich auf Linksys-, NETGEAR-, MikroTik- und TP-Link-Netzwerkgeräten und QNAP-NAS-Geräten erkannt. Die Liste der betroffenen Router finden Sie oben.

VPNFilter kann nicht ignoriert werden, nachdem etwa 500.000 Infektionen in 54 Ländern initiiert wurden. Es arbeitet in drei Stufen und macht Router funktionsunfähig, sammelt Informationen, die durch die Router geleitet werden, und blockiert sogar den Netzwerkverkehr. Das Erkennen und Analysieren seiner Netzwerkaktivität bleibt ein schwieriges Unterfangen.

In diesem Artikel haben wir Möglichkeiten aufgezeigt, wie Sie sich vor der Malware schützen können und welche Schritte Sie unternehmen können, wenn Ihr Router kompromittiert wurde. Die Folgen sind katastrophal, daher sollten Sie sich nie auf die wichtige Aufgabe setzen, Ihre Geräte zu überprüfen.


YouTube-Video.: So identifizieren und beheben Sie VPNFilter-Malware jetzt

03, 2024