Computer >> 컴퓨터 >  >> 문제 해결 >> 컴퓨터 유지 보수

지금 VPNFilter 멀웨어를 식별하고 수정하는 방법

모든 악성코드가 아닙니다. 동등하게 생성됩니다. 이에 대한 한 가지 증거는 VPNFilter 멀웨어의 존재입니다. , 파괴적인 속성을 가진 새로운 유형의 라우터 멀웨어. 다른 대부분의 사물 인터넷(IoT) 위협과 달리 재부팅 시에도 살아남을 수 있다는 한 가지 뚜렷한 특징이 있습니다.

이 문서에서 VPNFilter 멀웨어와 해당 대상 목록을 식별하는 방법을 안내합니다. 또한 처음부터 시스템에 혼란을 주는 것을 방지하는 방법도 알려드립니다.

VPNFilter 멀웨어란 무엇입니까?

VPNFilter를 라우터, IoT 장치, 심지어 NAS(Network-Attached Storage) 장치까지 위협하는 파괴적인 맬웨어로 생각하십시오. 주로 다른 제조업체의 네트워킹 장치를 대상으로 하는 정교한 모듈식 멀웨어 변종으로 간주됩니다.

초기에 악성코드는 Linksys, NETGEAR, MikroTik 및 TP-Link 네트워크 장치에서 탐지되었습니다. QNAP NAS 장치에서도 발견되었습니다. 현재까지 54개국에서 약 500,000명의 감염자가 발생했으며, 이는 광범위한 범위와 존재감을 보여줍니다.

VPNFilter를 노출한 팀인 Cisco Talos는 제공 멀웨어 및 관련 기술 세부 정보에 대한 광범위한 블로그 게시물입니다. 외관상으로 ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti 및 ZTE의 네트워킹 장비에 감염 징후가 있습니다.

대부분의 다른 IoT 표적 멀웨어와 달리 VPNFilter는 시스템 재부팅 후에도 지속되기 때문에 제거하기 어렵습니다. 기본 로그인 자격 증명을 사용하는 기기나 펌웨어 업데이트가 아직 없는 알려진 제로데이 취약점이 있는 기기가 공격에 취약한 것으로 판명되었습니다.

VPNFilter 멀웨어의 영향을 받는 것으로 알려진 장치

기업 및 소규모 사무실 또는 홈 오피스 라우터 모두 이 악성코드의 대상으로 알려져 있습니다. 다음 라우터 브랜드 및 모델에 유의하십시오.

  • 아수스 RT-AC66U
  • 아수스 RT-N10
  • 아수스 RT-N10E
  • 아수스 RT-N10U
  • 아수스 RT-N56U
  • 아수스 RT-N66U
  • D-링크 DES-1210-08P
  • D-링크 DIR-300
  • D-링크 DIR-300A
  • D-링크 DSR-250N
  • D-링크 DSR-500N
  • D-링크 DSR-1000
  • D-링크 DSR-1000N
  • 링크시스 E1200
  • 링크시스 E2500
  • 링크시스 E3000
  • 링크시스 E3200
  • 링크시스 E4200
  • 링크시스 RV082
  • 화웨이 HG8245
  • 링크시스 WRVS4400N
  • 넷기어 DG834
  • 넷기어 DGN1000
  • 넷기어 DGN2200
  • 넷기어 DGN3500
  • Netgear FVS318N
  • 넷기어 MBRN3000
  • 넷기어 R6400
  • 넷기어 R7000
  • 넷기어 R8000
  • 넷기어 WNR1000
  • 넷기어 WNR2000
  • 넷기어 WNR2200
  • 넷기어 WNR4000
  • 넷기어 WNDR3700
  • 넷기어 WNDR4000
  • 넷기어 WNDR4300
  • 넷기어 WNDR4300-TN
  • 넷기어 UTM50
  • 미크로틱 CCR1009
  • 미크로틱 CCR1016
  • 미크로틱 CCR1036
  • 미크로틱 CCR1072
  • 미크로틱 CRS109
  • 미크로틱 CRS112
  • 미크로틱 CRS125
  • 미크로틱 RB411
  • 미크로틱 RB450
  • 미크로틱 RB750
  • 미크로틱 RB911
  • 미크로틱 RB921
  • 미크로틱 RB941
  • 미크로틱 RB951
  • 미크로틱 RB952
  • 미크로틱 RB960
  • 미크로틱 RB962
  • 미크로틱 RB1100
  • 미크로틱 RB1200
  • 미크로틱 RB2011
  • 미크로틱 RB3011
  • MikroTik RB 그루브
  • MikroTik RB 옴니틱
  • 미크로틱 STX5
  • TP-Link R600VPN
  • TP-링크 TL-WR741ND
  • TP-링크 TL-WR841N
  • 유비퀴티 NSM2
  • 유비퀴티 PBE M5
  • Upvel 기기 - 알 수 없는 모델
  • ZTE 장치 ZXHN H108N
  • QNAP TS251
  • QNAP TS439 프로
  • QTS 소프트웨어를 실행하는 기타 QNAP NAS 장치

대부분의 대상 장치의 공통 분모는 기본 자격 증명을 사용하는 것입니다. 또한 특히 이전 버전에 대해 알려진 악용 사례가 있습니다.

VPNFilter 멀웨어는 감염된 장치에 어떤 역할을 합니까?

VPNFilter는 영향을 받는 장치에 심각한 손상을 줄 뿐만 아니라 데이터 수집 방법으로 작동합니다. 3단계로 작동합니다.

1단계

이것은 설치를 표시하고 대상 장치에 지속적인 존재를 유지합니다. 멀웨어는 추가 모듈을 다운로드하고 지시를 기다리기 위해 명령 및 제어(C&C) 서버에 접속합니다. 이 단계에서는 위협이 배포되는 동안 인프라 변경이 발생할 경우 2단계 C&C를 찾기 위한 여러 기본 제공 중복이 있습니다. 1단계 VPNFilter는 재부팅을 견딜 수 있습니다.

2단계

이것은 주요 페이로드를 특징으로 합니다. 재부팅을 통해 지속할 수는 없지만 더 많은 기능이 있습니다. 파일을 수집하고, 명령을 실행하고, 데이터 유출 및 장치 관리를 수행할 수 있습니다. 계속해서 파괴적인 영향을 미치는 멀웨어는 공격자로부터 명령을 받으면 장치를 "벽돌"할 수 있습니다. 이는 디바이스 펌웨어의 일부를 덮어쓴 후 재부팅을 통해 실행됩니다. 범죄 행위로 인해 기기를 사용할 수 없게 됩니다.

3단계

이것의 몇 가지 알려진 모듈이 존재하며 2단계용 플러그인 역할을 합니다. 여기에는 장치를 통해 라우팅되는 트래픽을 감시하는 패킷 스니퍼가 포함되어 웹사이트 자격 증명 도용 및 Modbus SCADA 프로토콜 추적이 가능합니다. 다른 모듈을 사용하면 Stage 2에서 Tor를 통해 안전하게 통신할 수 있습니다. Cisco Talos 조사에 따르면 한 모듈은 장치를 통과하는 트래픽에 악성 콘텐츠를 제공합니다. 이러한 방식으로 공격자는 연결된 장치에 더 많은 영향을 미칠 수 있습니다.

6월 6일에 2개의 Stage 3 모듈이 추가로 노출되었습니다. 첫 번째는 "ssler"라고 하며 포트 80을 사용하여 장치를 통과하는 모든 트래픽을 가로챌 수 있습니다. 공격자는 웹 트래픽을 보고 가로채 중간자 공격을 실행할 수 있습니다. 예를 들어 HTTPS 요청을 HTTP 요청으로 변경하여 암호화된 데이터를 안전하지 않게 보낼 수 있습니다. 두 번째 것은 "dstr"이라고 하며, 이 기능이 없는 모든 Stage 2 모듈에 kill 명령을 통합합니다. 실행되면 기기를 벽돌로 만들기 전에 맬웨어의 모든 흔적을 제거합니다.

9월 26일에 공개된 7개의 3단계 모듈이 더 있습니다.

  • htpx – ssler처럼 작동하여 Windows 실행 파일을 식별하고 기록하기 위해 감염된 장치를 통과하는 모든 HTTP 트래픽을 리디렉션하고 검사합니다. 감염된 라우터를 통과하는 동안 실행 파일을 트로이 목마화할 수 있으므로 공격자가 동일한 네트워크에 연결된 다양한 시스템에 맬웨어를 설치할 수 있습니다.
  • ndbr – 이것은 다기능 SSH 도구로 간주됩니다.
  • nm – 이 모듈은 로컬 서브넷을 스캔하기 위한 네트워크 매핑 무기입니다.
  • 넷필터 – 이 서비스 거부 유틸리티는 일부 암호화된 앱에 대한 액세스를 차단할 수 있습니다.
  • 포트포워딩 – 공격자가 결정한 인프라로 네트워크 트래픽을 전달합니다.
  • socks5proxy – 취약한 장치에 SOCKS5 프록시를 설정할 수 있습니다.

VPNFilter의 기원 공개

이 악성코드는 국가가 후원하는 해킹 단체의 작업일 가능성이 높습니다. 초기 감염은 주로 우크라이나에서 느껴져 해킹 그룹 Fancy Bear와 러시아 지원 그룹에 쉽게 영향을 미쳤습니다.

그러나 이것은 VPNFilter의 정교한 특성을 보여줍니다. 명확한 출처 및 특정 해킹 그룹과 연관될 수 없으며 누군가 이에 대한 책임을 주장하기 위해 아직 나서지 않고 있습니다. SCADA가 다른 산업 시스템 프로토콜과 함께 포괄적인 맬웨어 규칙 및 대상 지정을 갖고 있기 때문에 국가 후원자가 추측되고 있습니다.

FBI에 물어보면 VPNFilter는 Fancy Bear의 아이디어입니다. 2018년 5월에 이 기관은 2단계 및 3단계 VPNFilter를 설치하고 명령하는 데 중요한 역할을 하는 ToKnowAll.com 도메인을 압수했습니다. 압수는 악성코드의 확산을 막는 데 도움이 되었지만 주요 소스를 해결하는 데 실패했습니다.

FBI는 5월 25일 발표에서 대규모 외국 기반 멀웨어 공격을 막기 위해 집에서 Wi-Fi 라우터를 재부팅할 것을 긴급하게 요청했습니다. 당시 이 기관은 다른 네트워크 장치와 함께 소규모 사무실 및 가정용 Wi-Fi 라우터를 손상시킨 외국 사이버 범죄자를 수십만 명으로 지목했습니다.

저는 평범한 사용자입니다 – VPNFilter 공격은 나에게 무엇을 의미합니까?

좋은 소식은 위에서 제공한 VPNFilter 라우터 목록을 확인한 경우 라우터에 성가신 맬웨어가 있을 가능성이 없다는 것입니다. 그러나 항상 조심하는 것이 최선의 실수입니다. 시만텍은 VPNFilter Check를 실행하여 사용자가 영향을 받는지 여부를 테스트할 수 있습니다. 검사를 실행하는 데 몇 초 밖에 걸리지 않습니다.

자, 여기 있습니다. 실제로 감염되면? 다음 단계를 살펴보세요.

  • 라우터를 재설정합니다. 그런 다음 VPNFilter Check를 다시 실행하십시오.
  • 라우터를 초기 설정으로 재설정합니다.
  • 기기에서 원격 관리 설정을 비활성화하는 것이 좋습니다.
  • 라우터용 최신 펌웨어를 다운로드합니다. 프로세스가 진행되는 동안 라우터가 온라인 연결을 하지 않고 이상적으로는 클린 펌웨어 설치를 완료하십시오.
  • 감염된 라우터에 연결된 컴퓨터 또는 장치에서 전체 시스템 검사를 완료합니다. 신뢰할 수 있는 맬웨어 스캐너와 함께 작동하려면 안정적인 PC 최적화 도구를 사용하는 것을 잊지 마십시오.
  • 연결을 보호하십시오. 최고의 온라인 개인 정보 보호 및 보안 실적이 있는 고품질 유료 VPN으로 자신을 보호하세요.
  • 라우터와 기타 IoT 또는 NAS 기기의 기본 로그인 자격 증명을 변경하는 습관을 들이십시오.
  • 방화벽을 설치하고 네트워크에 나쁜 정보를 차단하도록 적절하게 구성하십시오.
  • 강력하고 고유한 비밀번호로 기기를 보호하세요.
  • 암호화를 활성화합니다.

라우터가 잠재적으로 영향을 받는 경우 제조업체의 웹사이트에서 새로운 정보와 장치를 보호하기 위해 취해야 할 조치를 확인하는 것이 좋습니다. 모든 정보가 라우터를 통과하기 때문에 이것은 즉각적인 조치입니다. 라우터가 손상되면 기기의 개인정보와 보안이 위태로워집니다.

요약

VPNFilter 맬웨어는 최근 역사에서 엔터프라이즈 및 소규모 사무실 또는 가정용 라우터를 공격하는 가장 강력하고 파괴할 수 없는 위협 중 하나일 수 있습니다. Linksys, NETGEAR, MikroTik 및 TP-Link 네트워크 장치와 QNAP NAS 장치에서 처음에 감지되었습니다. 위에서 영향을 받는 라우터 목록을 찾을 수 있습니다.

VPNFilter는 54개국에서 약 500,000건의 감염을 시작한 후 무시할 수 없습니다. 3단계로 작동하며 라우터를 작동 불가능하게 만들고 라우터를 통과하는 정보를 수집하며 네트워크 트래픽까지 차단합니다. 네트워크 활동을 감지하고 분석하는 것은 여전히 ​​어려운 작업입니다.

이 기사에서는 맬웨어로부터 자신을 보호하는 방법과 라우터가 손상된 경우 취할 수 있는 조치에 대해 설명했습니다. 그 결과는 끔찍하므로 기기를 확인하는 중요한 작업에 앉아 있으면 안 됩니다.