VPN Kötü Amaçlı Yazılımları Yönlendiricinizi Yok Etmeden Önce Nasıl Tespit Edebilirsiniz?

VPN Kötü Amaçlı Yazılımları Yönlendiricinizi Yok Etmeden Önce Nasıl Tespit Edebilirsiniz?

Yönlendirici, ağ aygıtı ve Nesnelerin İnterneti kötü amaçlı yazılımları giderek daha yaygın hale geliyor. Çoğu, savunmasız cihazlara bulaşmaya ve bunları güçlü botnet'lere eklemeye odaklanır. Yönlendiriciler ve Nesnelerin İnterneti (IoT) cihazları her zaman açık, her zaman çevrimiçi ve talimatları bekliyor. O zaman mükemmel botnet yemi.





Ancak tüm kötü amaçlı yazılımlar aynı değildir.



VPNFilter, yönlendiriciler, IoT cihazları ve hatta bazı ağa bağlı depolama (NAS) cihazları için yıkıcı bir kötü amaçlı yazılım tehdididir. VPNFilter kötü amaçlı yazılım bulaşmasını nasıl kontrol edersiniz? Ve nasıl temizleyebilirsiniz? VPNFilter'a daha yakından bakalım.





VPNFiltre Nedir?

VPNFilter, öncelikle NAS cihazlarının yanı sıra çok çeşitli üreticilerin ağ cihazlarını hedefleyen karmaşık bir modüler kötü amaçlı yazılım çeşididir. VPNFilter ilk olarak 54 ülkede yaklaşık 500.000 enfeksiyonla Linksys, MikroTik, NETGEAR ve TP-Link ağ cihazlarının yanı sıra QNAP NAS cihazlarında bulundu.

NS VPNFilter'ı ortaya çıkaran ekip , Cisco Talos, son güncellenen ayrıntılar kötü amaçlı yazılımla ilgili olarak, ASUS, D-Link, Huawei, Ubiquiti, UPVEL ve ZTE gibi üreticilerin ağ ekipmanlarının artık VPNFilter enfeksiyonları gösterdiğini gösteriyor. Ancak, bu yazının yazıldığı sırada hiçbir Cisco ağ cihazı etkilenmemiştir.



Kötü amaçlı yazılım, diğer IoT odaklı kötü amaçlı yazılımların çoğundan farklıdır, çünkü sistem yeniden başlatıldıktan sonra da devam eder ve ortadan kaldırılmasını zorlaştırır. Varsayılan oturum açma kimlik bilgilerini kullanan veya ürün yazılımı güncellemeleri almadığı bilinen sıfırıncı gün güvenlik açıklarına sahip cihazlar özellikle savunmasızdır.

izleyecek bir film bulmama yardım et

VPNFilter Ne Yapar?

Dolayısıyla VPNFilter, cihazlarda yıkıcı hasara neden olabilecek 'çok aşamalı, modüler bir platform'dur. Ayrıca, bir veri toplama tehdidi olarak da hizmet edebilir. VPNFilter birkaç aşamada çalışır.



Aşama 1: VPNFilter Aşama 1, ek modülleri indirmek ve talimatları beklemek için komuta ve kontrol sunucusuyla (C&C) iletişim kurarak cihazda bir köprü oluşturur. Aşama 1 ayrıca, dağıtım sırasında altyapı değişikliği olması durumunda Aşama 2 C&C'leri bulmak için birden fazla yerleşik yedekliğe sahiptir. Aşama 1 VPNFilter kötü amaçlı yazılımı, yeniden başlatmadan da kurtulabilir ve bu da onu güçlü bir tehdit haline getirir.

2. aşama: VPNFilter Aşama 2, yeniden başlatma yoluyla devam etmez, ancak daha geniş bir yetenek yelpazesi ile birlikte gelir. Aşama 2, özel verileri toplayabilir, komutları yürütebilir ve cihaz yönetimine müdahale edebilir. Ayrıca, Vahşi doğada Aşama 2'nin farklı sürümleri vardır. Bazı sürümler, cihaz üretici yazılımının bir bölümünün üzerine yazan ve ardından cihazı kullanılamaz hale getirmek için yeniden başlatan yıkıcı bir modülle donatılmıştır (kötü amaçlı yazılım, temel olarak yönlendiriciyi, IoT'yi veya NAS cihazını bloke eder).



Sahne 3: VPNFilter Aşama 3 modülleri, Aşama 2 için eklentiler gibi çalışarak VPNFilter'ın işlevselliğini genişletir. Bir modül, cihaza gelen trafiği toplayan ve kimlik bilgilerini çalan bir paket dinleyicisi görevi görür. Bir diğeri, 2. Aşama kötü amaçlı yazılımın Tor kullanarak güvenli bir şekilde iletişim kurmasını sağlar. Cisco Talos ayrıca, cihazdan geçen trafiğe kötü amaçlı içerik enjekte eden bir modül buldu; bu, bilgisayar korsanının bir yönlendirici, IoT veya NAS cihazı aracılığıyla diğer bağlı cihazlara daha fazla istismar sunabileceği anlamına geliyor.

Ayrıca, VPNFilter modülleri 'web sitesi kimlik bilgilerinin çalınmasına ve Modbus SCADA protokollerinin izlenmesine izin verir.'

Fotoğraf Paylaşım Metası

VPNFilter kötü amaçlı yazılımının bir başka ilginç (ancak yeni keşfedilmemiş) özelliği, C&C sunucusunun IP adresini bulmak için çevrimiçi fotoğraf paylaşım hizmetlerini kullanmasıdır. Talos analizi, kötü amaçlı yazılımın bir dizi Photobucket URL'sine işaret ettiğini buldu. Kötü amaçlı yazılım, URL'nin başvurduğu galerideki ilk resmi indirir ve resim meta verileri içinde gizlenmiş bir sunucu IP adresini çıkarır.

IP adresi 'EXIF bilgilerinde GPS enlem ve boylam için altı tamsayı değerinden çıkarılır.' Bu başarısız olursa, 1. Aşama kötü amaçlı yazılım, resmi indirmek ve aynı işlemi denemek için normal bir etki alanına (toknowall.com----daha fazlası aşağıdadır) geri döner.

Hedeflenen Paket Koklama

Güncellenmiş Talos raporu, VPNFilter paket koklama modülüne ilişkin bazı ilginç bilgiler ortaya çıkardı. Her şeyi üst üste getirmek yerine, belirli trafik türlerini hedefleyen oldukça katı kurallar dizisine sahiptir. Spesifik olarak, TP-Link R600 VPN'leri kullanarak bağlanan endüstriyel kontrol sistemlerinden (SCADA) gelen trafik, önceden tanımlanmış IP adresleri listesine bağlantılar (diğer ağlar ve istenen trafik hakkında ileri düzeyde bilgi sahibi olduğunu gösterir) ve ayrıca 150 baytlık veri paketleri veya daha büyük.

Talos'ta kıdemli teknoloji lideri ve küresel erişim yöneticisi Craig William, Ars'a söyledi , 'Çok spesifik şeyler arıyorlar. Olabildiğince fazla trafik toplamaya çalışmıyorlar. Kimlik bilgileri ve şifreler gibi çok küçük şeylerin peşindeler. İnanılmaz derecede hedeflenmiş ve inanılmaz derecede karmaşık görünmesi dışında bu konuda çok fazla bilgimiz yok. Hâlâ bunu kimin üzerinde kullandığını bulmaya çalışıyoruz.'

VPNFilter Nereden Geldi?

VPNFilter'ın devlet destekli bir hack grubunun işi olduğu düşünülüyor. İlk VPNFilter enfeksiyonu artışının ağırlıklı olarak Ukrayna genelinde hissedildiğini, ilk parmakların Rus destekli parmak izlerini ve bilgisayar korsanlığı grubu Fancy Bear'ı işaret etti.

Bununla birlikte, kötü amaçlı yazılımın karmaşıklığı bu kadardır, net bir köken yoktur ve hiçbir bilgisayar korsanlığı grubu, ulus devlet veya başka bir şekilde kötü amaçlı yazılımı talep etmek için öne çıkmamıştır. Ayrıntılı kötü amaçlı yazılım kuralları ve SCADA ve diğer endüstriyel sistem protokollerinin hedeflenmesi göz önüne alındığında, bir ulus devlet aktörü büyük olasılıkla görünüyor.

Ne düşündüğümden bağımsız olarak FBI, VPNFilter'ın bir Fantezi Ayı eseri olduğuna inanıyor. Mayıs 2018'de FBI bir etki alanını ele geçirdi ---ToKnowAll.com---Bunun, Aşama 2 ve Aşama 3 VPNFilter kötü amaçlı yazılımını yüklemek ve komuta etmek için kullanıldığı düşünülüyordu. Etki alanına el konulması kesinlikle VPNFilter'ın hemen yayılmasını durdurmaya yardımcı oldu, ancak ana arteri kesmedi; Ukraynalı SBU, biri için Temmuz 2018'de bir kimyasal işleme tesisine yönelik bir VPNFilter saldırısını engelledi.

Windows 10 kurulumu için USB sürücüsünü biçimlendirin

VPNFilter ayrıca çok çeşitli Ukraynalı hedeflere karşı kullanılan bir APT Truva Atı olan BlackEnergy kötü amaçlı yazılımıyla benzerlikler taşır. Yine, bu tam bir kanıt olmaktan uzak olsa da, Ukrayna'nın sistematik olarak hedef alınması, ağırlıklı olarak Rus bağları olan hack gruplarından kaynaklanmaktadır.

VPNFilter ile Etkilendim mi?

Muhtemelen, yönlendiriciniz VPNFilter kötü amaçlı yazılımını barındırmıyor. Ama üzgün olmaktansa güvende olmak her zaman daha iyidir:

  1. Bu listeyi kontrol edin yönlendiriciniz için. Listede değilseniz, her şey yolunda demektir.
  2. Symantec VPNFilter Check sitesine gidebilirsiniz. Şartlar ve koşullar kutusunu işaretleyin, ardından VPNFilter Check'i çalıştırın ortadaki düğme. Test saniyeler içinde tamamlanır.

VPNFilter ile Etkilendim: Ne Yapmalıyım?

Symantec VPNFilter Check, yönlendiricinize virüs bulaştığını onaylarsa, net bir eylem planınız vardır.

  1. Yönlendiricinizi sıfırlayın, ardından VPNFilter Check'i tekrar çalıştırın.
  2. Yönlendiricinizi fabrika ayarlarına sıfırlayın.
  3. Yönlendiriciniz için en son ürün yazılımını indirin ve tercihen işlem sırasında yönlendirici çevrimiçi bağlantı kurmadan temiz bir ürün yazılımı kurulumunu tamamlayın.

Buna ek olarak, virüslü yönlendiriciye bağlı her cihazda tam sistem taramalarını tamamlamanız gerekir.

Mümkünse, yönlendiricinizin varsayılan oturum açma kimlik bilgilerinin yanı sıra herhangi bir IoT veya NAS cihazının (IoT cihazları bu görevi kolaylaştırmaz) her zaman değiştirmelisiniz. Ayrıca, VPNFilter'ın bazı güvenlik duvarlarından kaçabileceğine dair kanıtlar olsa da, birinin kurulu ve uygun şekilde yapılandırılmış olması diğer birçok kötü şeyi ağınızdan uzak tutmanıza yardımcı olacaktır.

Yönlendirici Kötü Amaçlı Yazılımlara Dikkat!

Yönlendirici kötü amaçlı yazılımları giderek yaygınlaşıyor. IoT kötü amaçlı yazılımları ve güvenlik açıkları her yerdedir ve çevrimiçi hale gelen cihazların sayısı arttıkça daha da kötüleşecektir. Yönlendiriciniz, evinizdeki veriler için odak noktasıdır. Yine de diğer cihazlar kadar güvenlikle ilgilenmiyor.

Basitçe söylemek gerekirse, yönlendiriciniz düşündüğünüz kadar güvenli değil.

Paylaş Paylaş Cıvıldamak E-posta Konuşmayı Canlandırmak İçin Yeni Başlayanlar Kılavuzu

Konuşmayı canlandırmak zor olabilir. Projenize diyalog eklemeye hazırsanız, süreci sizin için özetleyeceğiz.

Sonrakini Oku İlgili konular
  • Güvenlik
  • yönlendirici
  • Çevrimiçi Güvenlik
  • Nesnelerin interneti
  • kötü amaçlı yazılım
Yazar hakkında Gavin Phillips(945 Makale Yayınlandı)

Gavin, Windows ve Teknoloji Açıklaması için Junior Editör, Gerçekten Faydalı Podcast'e düzenli olarak katkıda bulunan ve düzenli bir ürün incelemecisidir. Devon tepelerinden yağmalanan Dijital Sanat Uygulamaları ile Çağdaş Yazma (Hons) lisans derecesine ve on yılı aşkın profesyonel yazma deneyimine sahiptir. Bol miktarda çay, masa oyunları ve futboldan hoşlanır.

bu cihazı dinle çalışmıyor
Gavin Phillips'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın