كيفية التعرف على البرامج الضارة الخاصة ببرنامج VPNFilter وإصلاحها الآن (04.20.24)

لا يتم إنشاء جميع البرامج الضارة على قدم المساواة. أحد الأدلة على ذلك هو وجود برامج VPNFilter الضارة ، وهي سلالة جديدة من البرامج الضارة لجهاز التوجيه والتي لها خصائص مدمرة. إحدى السمات المميزة التي يتمتع بها هي أنه يمكن أن ينجو من إعادة التشغيل ، على عكس معظم تهديدات إنترنت الأشياء (IoT) الأخرى.

دع هذه المقالة ترشدك من خلال تحديد برنامج VPNFilter الضار بالإضافة إلى قائمة أهدافه. سنعلمك أيضًا كيفية منعه من إحداث فوضى في نظامك في المقام الأول.

ما هو برنامج VPNFilter Malware؟

فكر في VPNFilter على أنه برنامج ضار مدمر يهدد أجهزة التوجيه وأجهزة إنترنت الأشياء وحتى المتصلة بالشبكة أجهزة التخزين (NAS). يُعتبر أحد أشكال البرامج الضارة المعيارية المعقدة التي تستهدف بشكل أساسي أجهزة الشبكات من مختلف الشركات المصنعة.

في البداية ، تم اكتشاف البرامج الضارة على أجهزة شبكات Linksys و NETGEAR و MikroTik و TP-Link. تم اكتشافه في أجهزة QNAP NAS أيضًا. حتى الآن ، هناك حوالي 500000 إصابة في 54 دولة ، مما يدل على مدى انتشارها الهائل ووجودها.

يوفر Cisco Talos ، الفريق الذي كشف VPNFilter ، منشور مدونة شامل حول البرامج الضارة والتفاصيل الفنية المتعلقة به. يبدو أن أجهزة الشبكات من ASUS و D-Link و Huawei و UPVEL و Ubiqiuiti و ZTE تظهر عليها علامات الإصابة.

على عكس معظم البرامج الضارة الأخرى التي تستهدف إنترنت الأشياء ، يصعب التخلص من VPNFilter نظرًا لأنه يستمر حتى بعد إعادة تشغيل النظام. تُثبت الأجهزة التي تستخدم بيانات اعتماد تسجيل الدخول الافتراضية الخاصة بها ، أو تلك التي بها ثغرات أمنية معروفة لم يتم تحديث البرامج الثابتة بها بعد ، والتي تثبت أنها عرضة لهجماتها.

من المعروف أن أجهزة التوجيه الخاصة بالمؤسسات والمكاتب الصغيرة أو أجهزة المكتب المنزلية هدف لهذه البرامج الضارة. لاحظ العلامات التجارية والنماذج التالية لأجهزة التوجيه:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • دي لينك DSR-250N
  • دي لينك DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • هواوي HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • ميكروتيك RB1100
  • MikroTik RB2011
  • MikroTik RB3011
  • MikroTik RB Groove
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • أجهزة Upvel Devices - طرازات غير معروفة
  • أجهزة ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP أخرى أجهزة NAS التي تعمل ببرنامج QTS

القاسم المشترك بين معظم الأجهزة المستهدفة هو استخدامها لبيانات الاعتماد الافتراضية. لديهم أيضًا ثغرات معروفة ، خاصة للإصدارات الأقدم.

ماذا تفعل VPNFilter Malware بالأجهزة المصابة؟

يعمل VPNFilter لإحداث ضرر منهك للأجهزة المتأثرة بالإضافة إلى أنه يعمل كطريقة لجمع البيانات. يعمل على ثلاث مراحل:

المرحلة 1

يشير هذا إلى التثبيت والحفاظ على التواجد المستمر على الجهاز المستهدف. ستتصل البرامج الضارة بخادم الأوامر والتحكم (C & amp؛ C) لتنزيل وحدات إضافية وانتظار التعليمات. في هذه المرحلة ، هناك العديد من عمليات التكرار المضمنة لتحديد موقع المرحلة 2 C & amp؛ C في حالة حدوث تغيير في البنية التحتية أثناء نشر التهديد. يمكن أن تتحمل المرحلة الأولى VPNFilter إعادة التشغيل.

المرحلة الثانية

هذا يتميز بالحمولة الرئيسية. على الرغم من أنه غير قادر على الاستمرار خلال إعادة التشغيل ، إلا أنه يتمتع بإمكانيات أكثر. إنه قادر على جمع الملفات وتنفيذ الأوامر وتنفيذ استخراج البيانات وإدارة الجهاز. استمرارًا لتأثيراته المدمرة ، يمكن للبرامج الضارة "اختراق" الجهاز بمجرد تلقيه أمرًا من المهاجمين. يتم تنفيذ ذلك من خلال الكتابة فوق جزء من البرنامج الثابت للجهاز وإعادة التشغيل اللاحقة. تؤدي الأعمال الإجرامية إلى جعل الجهاز غير قابل للاستخدام.

المرحلة 3

توجد عدة وحدات معروفة من هذا وتعمل كمكونات إضافية للمرحلة الثانية. وهي تتألف من حزمة الشم للتجسس على حركة المرور الموجهة عبر الجهاز ، مما يتيح سرقة بيانات اعتماد موقع الويب و تتبع بروتوكولات Modbus SCADA. تسمح وحدة أخرى للمرحلة الثانية بالتواصل بشكل آمن عبر Tor. استنادًا إلى تحقيق Cisco Talos ، توفر وحدة واحدة محتوى ضارًا لحركة المرور التي تمر عبر الجهاز. بهذه الطريقة ، يمكن للمهاجمين التأثير بشكل أكبر على الأجهزة المتصلة.

في 6 يونيو ، تم عرض وحدتين أخريين من المرحلة الثالثة. الأول يسمى "ssler" ، ويمكنه اعتراض كل حركة المرور التي تمر عبر الجهاز باستخدام المنفذ 80. يسمح للمهاجمين بمشاهدة حركة مرور الويب واعتراضها لتنفيذ هجمات الرجل في الوسط. يمكنه ، على سبيل المثال ، تغيير طلبات HTTPS إلى طلبات HTTP ، وإرسال البيانات المفترض أنها مشفرة بشكل غير آمن. والثاني يطلق عليه اسم "dstr" ، والذي يتضمن أمر قتل لأي وحدة من وحدات المرحلة 2 تفتقر إلى هذه الميزة. بمجرد تنفيذه ، سوف يقضي على جميع آثار البرامج الضارة قبل أن يكسر الجهاز.

فيما يلي سبع وحدات أخرى من المرحلة 3 تم الكشف عنها في 26 سبتمبر:
  • htpx - إنها تعمل تمامًا مثل ssler ، إعادة توجيه وفحص كل حركة مرور HTTP التي تمر عبر الجهاز المصاب من أجل تحديد وتسجيل أي ملفات Windows قابلة للتنفيذ. يمكنه زيادة حجم الملفات التنفيذية في أحصنة طروادة أثناء المرور عبر أجهزة التوجيه المصابة ، مما يسمح للمهاجمين بتثبيت برامج ضارة على أجهزة مختلفة متصلة بالشبكة نفسها.
  • ndbr - يعتبر هذا أداة SSH متعددة الوظائف.
  • نانومتر - هذه الوحدة هي سلاح تخطيط الشبكة لفحص الشبكة الفرعية المحلية .
  • netfilter - يمكن أن تمنع أداة رفض الخدمة هذه الوصول إلى بعض التطبيقات المشفرة.
  • إعادة توجيه المنافذ - تقوم بإعادة توجيه حركة مرور الشبكة للبنية التحتية التي يحددها المهاجمون.
  • socks5proxy - يتيح إنشاء وكيل SOCKS5 على الأجهزة الضعيفة.
تم الكشف عن أصول VPNFilter

هذا من المحتمل أن تكون البرامج الضارة من عمل كيان قرصنة ترعاه الدولة. كانت الإصابات الأولية محسوسة بشكل أساسي في أوكرانيا ، ونسبت الفعل بسهولة إلى مجموعة القرصنة Fancy Bear والجماعات المدعومة من روسيا.

ومع ذلك ، يوضح هذا الطبيعة المعقدة لبرنامج VPNFilter. لا يمكن ربطها بأصل واضح ومجموعة قرصنة محددة ، ولا يزال هناك شخص ما لم يتقدم للمطالبة بمسؤوليته عن ذلك. يتم التكهن برعاية دولة قومية لأن SCADA جنبًا إلى جنب مع بروتوكولات النظام الصناعي الأخرى لديها قواعد واستهداف شاملة للبرامج الضارة.

إذا كنت ستسأل مكتب التحقيقات الفيدرالي ، على الرغم من ذلك ، فإن VPNFilter هي من بنات أفكار Fancy Bear. مرة أخرى في مايو 2018 ، استولت الوكالة على مجال ToKnowAll.com ، الذي يُعتقد أنه مفيد في تثبيت وإدارة المرحلة 2 و 3 VPNFilter ساعدت عملية الاستيلاء على وقف انتشار البرامج الضارة ، لكنها فشلت في معالجة الملف الرئيسي.

في إعلانه الصادر في 25 مايو ، أصدر مكتب التحقيقات الفيدرالي (FBI) طلبًا عاجلاً للمستخدمين لإعادة تشغيل أجهزة توجيه Wi-Fi في المنزل لإيقاف هجوم كبير ببرامج ضارة أجنبية. في ذلك الوقت ، حددت الوكالة مجرمي الإنترنت الأجانب لخرق أجهزة توجيه Wi-Fi للمكاتب الصغيرة والمنزل - جنبًا إلى جنب مع أجهزة الشبكة الأخرى - بمئات الآلاف.

أنا مجرد مستخدم عادي - ما الذي يعنيه هجوم VPNFilter Me؟

الخبر السار هو أنه من غير المحتمل أن يحتوي جهاز التوجيه الخاص بك على برامج ضارة مزعجة إذا قمت بمراجعة قائمة جهاز توجيه VPNFilter التي قدمناها أعلاه. لكن من الأفضل دائمًا توخي الحذر. تقوم Symantec ، على سبيل المثال ، بتشغيل VPNFilter Check حتى تتمكن من اختبار ما إذا كنت متأثرًا أم لا. لا يستغرق الأمر سوى بضع ثوانٍ لإجراء الفحص.

الآن ، هذا هو الشيء. ماذا لو كنت مصابًا بالفعل؟ استكشف هذه الخطوات:
  • أعد ضبط جهاز التوجيه الخاص بك. بعد ذلك ، قم بتشغيل VPNFilter Check مرة أخرى.
  • أعد تعيين جهاز التوجيه الخاص بك إلى إعدادات المصنع.
  • ضع في اعتبارك تعطيل أي إعدادات للإدارة عن بُعد على جهازك.
  • قم بتنزيل أحدث البرامج الثابتة لجهاز التوجيه الخاص بك. أكمل تثبيتًا نظيفًا للبرنامج الثابت ، من الناحية المثالية دون أن يقوم جهاز التوجيه بإجراء اتصال عبر الإنترنت أثناء استمرار العملية.
  • أكمل فحصًا كاملاً للنظام على جهاز الكمبيوتر أو الجهاز الذي تم توصيله بجهاز التوجيه المصاب. لا تنس استخدام أداة موثوقة لمحسِّن الكمبيوتر الشخصي للعمل جنبًا إلى جنب مع ماسح البرامج الضارة الموثوق به.
  • تأمين اتصالاتك. تمتع بالحماية مع شبكة VPN مدفوعة عالية الجودة مع سجل حافل بالخصوصية والأمان على الإنترنت.
  • تعتاد على تغيير بيانات اعتماد تسجيل الدخول الافتراضية لجهاز التوجيه الخاص بك ، بالإضافة إلى أجهزة إنترنت الأشياء أو NAS .
  • تثبيت جدار حماية وتهيئته بشكل صحيح لإبعاد العناصر السيئة عن شبكتك.
  • تأمين أجهزتك بكلمات مرور قوية وفريدة من نوعها.
  • تمكين التشفير .
.

إذا كان من المحتمل أن يتأثر جهاز التوجيه الخاص بك ، فقد يكون من الجيد مراجعة موقع الشركة المصنعة على الويب للحصول على أي معلومات وخطوات جديدة يجب اتخاذها لحماية أجهزتك. هذه خطوة فورية يجب اتخاذها ، لأن جميع معلوماتك تمر عبر جهاز التوجيه الخاص بك. عندما يتم اختراق جهاز توجيه ، فإن خصوصية أجهزتك وأمانها على المحك.

الملخص

قد يكون برنامج VPNFilter الضار أيضًا أحد أقوى التهديدات وأكثرها قابلية للتدمير التي تعرضت لها المؤسسات والمكاتب الصغيرة أو أجهزة التوجيه المنزلية في الآونة الأخيرة التاريخ. تم اكتشافه في البداية على أجهزة شبكات Linksys و NETGEAR و MikroTik و TP-Link وأجهزة QNAP NAS. يمكنك العثور على قائمة أجهزة التوجيه المتأثرة أعلاه.

لا يمكن تجاهل VPNFilter بعد بدء حوالي 500000 إصابة في 54 دولة. إنه يعمل في ثلاث مراحل ويجعل أجهزة التوجيه غير قابلة للتشغيل ، ويجمع المعلومات التي تمر عبر أجهزة التوجيه ، بل ويحظر حركة مرور الشبكة. يظل اكتشاف نشاط الشبكة وتحليله مهمة صعبة.

في هذه المقالة ، حددنا طرقًا للمساعدة في حماية نفسك من البرامج الضارة والخطوات التي يمكنك اتخاذها في حالة اختراق جهاز التوجيه الخاص بك. العواقب وخيمة ، لذا يجب ألا تجلس مطلقًا على المهمة المهمة المتمثلة في فحص أجهزتك.

فيديو يوتيوب: كيفية التعرف على البرامج الضارة الخاصة ببرنامج VPNFilter وإصلاحها الآن

04, 2024