지금 VPNFilter 맬웨어를 식별하고 수정하는 방법 (04.28.24)
모든 멀웨어가 동일하게 생성되는 것은 아닙니다. 이에 대한 한 가지 증거는 파괴적인 속성을 가진 새로운 유형의 라우터 악성 코드 인 VPNFilter 악성 코드 의 존재입니다. 한 가지 뚜렷한 특징은 대부분의 다른 사물 인터넷 (IoT) 위협과 달리 재부팅 후에도 살아남을 수 있다는 것입니다.
이 기사를 통해 VPNFilter 악성 코드와 대상 목록을 식별 할 수 있습니다. 또한 처음부터 시스템에 피해를 입히지 않도록 방지하는 방법을 알려드립니다.
VPNFilter Malware 란 무엇입니까?VPNFilter를 라우터, IoT 장치 및 네트워크 연결을 위협하는 파괴적인 맬웨어라고 생각하십시오. 스토리지 (NAS) 장치. 주로 다른 제조업체의 네트워킹 장치를 대상으로하는 정교한 모듈 형 악성 코드 변종으로 간주됩니다.
처음에는 Linksys, NETGEAR, MikroTik 및 TP-Link 네트워크 장치에서 맬웨어가 탐지되었습니다. QNAP NAS 장치에서도 발견되었습니다. 현재까지 54 개국에서 약 50 만 건의 감염이 발생하여 방대한 도달 범위와 존재를 보여줍니다.
VPNFilter를 노출 한 팀인 Cisco Talos는 악성 코드에 대한 광범위한 블로그 게시물과 관련 기술 세부 정보를 제공합니다. 외관상 ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti 및 ZTE의 네트워킹 장비에 감염 징후가 있습니다.
대부분의 다른 IoT 대상 악성 코드와 달리 VPNFilter는 제거하기가 어렵습니다. 시스템 재부팅 후에도 지속됩니다. 공격에 취약한 것으로 입증 된 장치는 기본 로그인 자격 증명을 사용하는 장치 또는 아직 펌웨어 업데이트가없는 알려진 제로 데이 취약점이있는 장치입니다.
VPNFilter 맬웨어의 영향을받는 것으로 알려진 장치기업 및 소규모 사무실 또는 홈 오피스 라우터 모두이 악성 코드의 대상으로 알려져 있습니다. 다음 라우터 브랜드 및 모델을 기록하십시오.
- Asus RT-AC66U
- Asus RT-N10
- Asus RT-N10E
- Asus RT-N10U
- Asus RT-N56U
- Asus RT-N66U
- D-Link DES-1210-08P
- D- 링크 DIR-300
- D- 링크 DIR-300A
- D- 링크 DSR-250N
- D- 링크 DSR-500N
- D-Link DSR-1000
- D-Link DSR-1000N
- Linksys E1200
- Linksys E2500
- Linksys E3000
- Linksys E3200
- Linksys E4200
- Linksys RV082
- Huawei HG8245
- Linksys WRVS4400N
- Netgear DG834
- Netgear DGN1000
- Netgear DGN2200
- Netgear DGN3500
- Netgear FVS318N
- Netgear MBRN3000
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- Netgear WNR2200
- Netgear WNR4000
- Netgear WNDR3700
- Netgear WNDR4000
- Netgear WNDR4300
- Netgear WNDR4300-TN
- Netgear UTM50
- MikroTik CCR1009
- MikroTik CCR1016
- MikroTik CCR1036
- MikroTik CCR1072
- MikroTik CRS109
- MikroTik CRS112
- MikroTik CRS125
- MikroTik RB411
- MikroTik RB450
- MikroTik RB750
- MikroTik RB911
- MikroTik RB921
- MikroTik RB941
- MikroTik RB951
- MikroTik RB952
- MikroTik RB960
- MikroTik RB962
- MikroTik RB1100
- MikroTik RB1200
- MikroTik RB2011
- MikroTik RB3011
- MikroTik RB 그루브
- MikroTik RB Omnitik
- MikroTik STX5
- TP-Link R600VPN
- TP-Link TL-WR741ND
- TP-Link TL-WR841N
- Ubiquiti NSM2
- Ubiquiti PBE M5
- Upvel 장치-알 수없는 모델
- ZTE 장치 ZXHN H108N
- QNAP TS251
- QNAP TS439 Pro
- 기타 QNAP QTS 소프트웨어를 실행하는 NAS 장치
대부분의 대상 장치에서 공통적 인 분모는 기본 자격 증명을 사용하는 것입니다. 특히 이전 버전에서 알려진 악용 사례도 있습니다.
VPNFilter 맬웨어는 감염된 장치에 어떤 영향을 줍니까?VPNFilter는 영향을받는 장치에 손상을 줄뿐만 아니라 데이터 수집 방법으로도 작동합니다. 세 단계로 작동합니다.
1 단계이는 설치를 표시하고 대상 장치에 지속적인 존재를 유지합니다. 악성 코드는 추가 모듈을 다운로드하고 지침을 기다리기 위해 명령 및 제어 (C & amp; C) 서버에 연결합니다. 이 단계에서는 위협이 배포되는 동안 인프라 변경이 발생하는 경우 2 단계 C & amp; C를 찾을 수있는 여러 기본 제공 중복이 있습니다. 1 단계 VPNFilter는 재부팅을 견딜 수 있습니다.
2 단계기본 페이로드가 특징입니다. 재부팅을 통해 지속될 수는 없지만 더 많은 기능이 있습니다. 파일 수집, 명령 실행, 데이터 유출 및 장치 관리를 수행 할 수 있습니다. 계속해서 파괴적인 영향을 미치는 맬웨어는 공격자로부터 명령을 받으면 장치를 "브릭"할 수 있습니다. 이것은 장치 펌웨어의 일부를 덮어 쓴 다음 재부팅을 통해 실행됩니다. 범죄 행위로 인해 장치를 사용할 수 없게됩니다.
3 단계이에 대해 알려진 여러 모듈이 존재하고 2 단계의 플러그인으로 작동합니다. 이러한 모듈은 장치를 통해 라우팅되는 트래픽을 감시하는 패킷 스니퍼로 구성되어 웹 사이트 자격 증명 도용 및 Modbus SCADA 프로토콜 추적. 또 다른 모듈을 사용하면 2 단계에서 Tor를 통해 안전하게 통신 할 수 있습니다. Cisco Talos 조사에 따르면 하나의 모듈은 장치를 통과하는 트래픽에 악성 콘텐츠를 제공합니다. 이렇게하면 공격자가 연결된 장치에 더 많은 영향을 미칠 수 있습니다.
6 월 6 일에 2 개의 3 단계 모듈이 더 공개되었습니다. 첫 번째는 "ssler"라고하며 포트 80을 사용하여 장치를 통과하는 모든 트래픽을 가로 챌 수 있습니다. 공격자가 웹 트래픽을보고 가로 채서 중간자 공격을 실행할 수 있습니다. 예를 들어 HTTPS 요청을 HTTP 요청으로 변경하여 암호화 된 데이터를 안전하지 않게 보낼 수 있습니다. 두 번째는 "dstr"이라고 불리며,이 기능이없는 스테이지 2 모듈에 kill 명령을 통합합니다. 일단 실행되면 기기를 차단하기 전에 멀웨어의 흔적을 모두 제거합니다.
다음은 9 월 26 일에 공개 된 7 개의 3 단계 모듈입니다.- htpx – 작동합니다. ssler와 마찬가지로 Windows 실행 파일을 식별하고 기록하기 위해 감염된 장치를 통과하는 모든 HTTP 트래픽을 리디렉션하고 검사합니다. 감염된 라우터를 통과하는 동안 실행 파일을 트로이 목마 화하여 공격자가 동일한 네트워크에 연결된 다양한 컴퓨터에 맬웨어를 설치할 수 있습니다.
- ndbr – 다기능 SSH 도구로 간주됩니다.
- nm –이 모듈은 로컬 서브넷을 스캔하기위한 네트워크 매핑 무기입니다. .
- netfilter –이 서비스 거부 유틸리티는 일부 암호화 된 앱에 대한 액세스를 차단할 수 있습니다.
- portforwarding – 네트워크 트래픽을 전달합니다. 공격자가 결정한 인프라에.
- socks5proxy – 취약한 장치에 SOCKS5 프록시를 설정할 수 있습니다.
이 악성 코드는 국가가 후원하는 해킹 단체의 작업 일 가능성이 높습니다. 초기 감염은 주로 우크라이나에서 느껴졌으며 해킹 그룹 Fancy Bear와 러시아 지원 그룹에 쉽게 기인했습니다.
그러나 이것은 VPNFilter의 정교한 특성을 보여줍니다. 명확한 출처 및 특정 해킹 그룹과 관련 될 수 없으며 누군가가 아직 이에 대한 책임을 요구하지 않습니다. SCADA는 다른 산업 시스템 프로토콜과 함께 포괄적 인 멀웨어 규칙 및 타겟팅을 가지고 있기 때문에 국가 후원자가 추측되고 있습니다.
하지만 FBI에 문의한다면 VPNFilter는 Fancy Bear의 아이디어입니다. 2018 년 5 월에 에이전시는 2 단계 및 3 단계 VPNFilter를 설치하고 명령하는 데 중요한 역할을 할 것으로 생각되는 ToKnowAll.com 도메인을 점유했습니다. 압수는 멀웨어의 확산을 막는 데 도움이되었지만 메인 이미지를 다루지는 못했습니다.
5 월 25 일 발표에서 FBI는 대규모 외부 기반 악성 코드 공격을 막기 위해 사용자가 집에서 Wi-Fi 라우터를 재부팅 할 것을 긴급히 요청합니다. 당시이 기관은 소규모 사무실 및 가정용 Wi-Fi 라우터를 다른 네트워크 장치와 함께 손상시킨 외국 사이버 범죄자들을 10 만 명까지 찾아 냈습니다.
저는 평범한 사용자 일뿐입니다. VPNFilter 공격의 의미 저?좋은 소식은 위에서 제공 한 VPNFilter 라우터 목록을 확인한 경우 귀하의 라우터에 악성 악성 코드가 숨겨져 있지 않을 가능성이 있다는 것입니다. 그러나 항상주의 측면에서 가장 좋은 오류입니다. 하나는 시만텍이 VPNFilter Check를 실행하므로 사용자가 영향을 받는지 여부를 테스트 할 수 있습니다. 확인하는 데 몇 초 밖에 걸리지 않습니다.
자, 여기에 있습니다. 실제로 감염된 경우 어떻게합니까? 다음 단계를 살펴보세요.- 라우터를 재설정합니다. 다음으로 VPNFilter Check를 다시 실행합니다.
- 라우터를 공장 설정으로 재설정합니다.
- 기기에서 원격 관리 설정을 사용 중지하는 것이 좋습니다.
- 라우터의 최신 업데이트 펌웨어를 다운로드합니다. 이상적으로는 프로세스가 진행되는 동안 라우터가 온라인 연결을 설정하지 않고 깨끗한 펌웨어 설치를 완료합니다.
- 감염된 라우터에 연결된 컴퓨터 또는 장치에서 전체 시스템 검사를 완료합니다. 신뢰할 수있는 맬웨어 스캐너와 함께 작동하려면 신뢰할 수있는 PC 최적화 도구를 사용하는 것을 잊지 마십시오.
- 연결을 보호하십시오. 최고 수준의 온라인 개인 정보 보호 및 보안 실적이있는 고품질 유료 VPN으로 자신을 보호하세요.
- 라우터 및 기타 IoT 또는 NAS 기기의 기본 로그인 자격 증명을 변경하는 습관을들이세요. .
- 방화벽을 설치하고 네트워크에 악영향을주지 않도록 적절히 구성하세요.
- 강력하고 고유 한 비밀번호로 기기를 보호하세요.
- 암호화 사용 .
라우터가 잠재적으로 영향을받는 경우 제조업체의 웹 사이트에서 새로운 정보와 기기를 보호하기 위해 취해야 할 조치를 확인하는 것이 좋습니다. 모든 정보가 라우터를 통과하기 때문에 이것은 즉각적인 조치입니다. 라우터가 손상되면 기기의 개인 정보 보호와 보안이 위태로워집니다.
요약VPNFilter 악성 코드는 최근 기업 및 소규모 사무실 또는 가정용 라우터를 공격하는 가장 강력하고 파괴 할 수없는 위협 중 하나 일 수 있습니다. 역사. Linksys, NETGEAR, MikroTik, TP-Link 네트워크 장치 및 QNAP NAS 장치에서 처음 감지되었습니다. 위의 영향을받는 라우터 목록을 확인할 수 있습니다.
VPNFilter는 54 개국에서 약 50 만 건의 감염을 시작한 후에는 무시할 수 없습니다. 3 단계로 작동하며 라우터를 작동 불가능하게 만들고 라우터를 통과하는 정보를 수집하며 네트워크 트래픽을 차단합니다. 네트워크 활동을 감지하고 분석하는 것은 여전히 어려운 작업입니다.
이 기사에서는 멀웨어로부터 자신을 보호하는 방법과 라우터가 손상된 경우 취할 수있는 조치에 대해 설명했습니다. 그 결과는 끔찍하므로 기기를 확인하는 중요한 작업을해서는 안됩니다.
YouTube 비디오: 지금 VPNFilter 맬웨어를 식별하고 수정하는 방법
04, 2024