Malware auf Routern, Netzwerkgeräten und im Internet der Dinge kommt immer häufiger vor. Die meisten von ihnen infizieren anfällige Geräte und gehören zu sehr mächtigen Botnetzen. Router und IoT-Geräte (Internet of Things) sind immer mit Strom versorgt, immer online und warten auf Anweisungen. Und Botnets machen sich das zunutze, um diese Geräte anzugreifen.
Aber nicht jede Schadsoftware ( Malware ) ist gleich.
VPNFilter ist eine zerstörerische Malware, die Router, IoT-Geräte und sogar einige NAS-Geräte (Network Attached Storage) angreift. Wie erkennen Sie, ob Ihre Geräte mit VPNFilter-Malware infiziert sind? Und wie kann man es entfernen? Schauen wir uns VPNFilter im folgenden Artikel genauer an.
Was ist Malware VPNFilter? Wie entferne ich es?
VPNFilter ist eine hochentwickelte modulare Malware-Variante, die vor allem auf Netzwerkgeräte verschiedener Hersteller sowie NAS-Geräte abzielt. VPNFilter wurde ursprünglich auf Linksys- , MikroTik-, NETGEAR- und TP-Link- Netzwerkgeräten sowie QNAP-NAS-Geräten gefunden und verzeichnete etwa 500.000 Infektionen in 54 Ländern.
Das VPNFilter-Entdeckungsteam Cisco Talos hat kürzlich Details zu dieser Malware aktualisiert und zeigt, dass Netzwerkgeräte von Herstellern wie ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE derzeit Anzeichen einer Infektion mit VPNFilter aufweisen. Zum Zeitpunkt des Verfassens dieses Artikels waren jedoch keine Cisco-Netzwerkgeräte betroffen.
Diese Malware unterscheidet sich von der meisten anderen IoT-fokussierten Malware, da sie auch nach Systemneustarts bestehen bleibt und somit schwieriger zu entfernen ist. Besonders gefährdet sind Geräte, die ihre Standard-Anmeldeinformationen verwenden oder Zero-Day-Schwachstellen (unbekannte Schwachstellen in Computersoftware) aufweisen und nicht regelmäßig mit Firmware aktualisiert werden.
VPNFilter ist ein „Multi-Modul, plattformübergreifend“, das Geräte beschädigen und zerstören kann. Darüber hinaus kann das Sammeln von Benutzerdaten auch zu einer besorgniserregenden Bedrohung werden. VPNFilter arbeitet in mehreren Stufen.
Phase 1 : VPNFilter richtet in Phase 1 eine Landestelle auf dem Gerät ein, kontaktiert den Command and Control (C&C)-Server, um zusätzliche Module herunterzuladen, und wartet auf Anweisungen. Phase 1 verfügt außerdem über mehrere integrierte Eventualitäten zur Positionierung von Phase 2 C&C im Falle von Infrastrukturänderungen während der Implementierung. VPNFilter-Malware der Stufe 1 kann auch Neustarts überstehen, was sie zu einer sehr gefährlichen Bedrohung macht.
Stufe 2 : VPNFilter in Stufe 2 bleibt nach einem Neustart nicht bestehen, verfügt jedoch in dieser Phase über viele Funktionen. Phase 2 kann persönliche Daten sammeln, Befehle ausführen und in die Geräteverwaltung eingreifen. Darüber hinaus gibt es in der Praxis unterschiedliche Versionen der Phase 2. Einige Versionen sind mit einem zerstörerischen Modul ausgestattet, das eine Partition der Geräte -Firmware überschreibt und dann neu startet, um das Gerät unbrauchbar zu machen (im Wesentlichen die Deaktivierung der Malware). Router- , IoT- oder NAS- Geräte konfigurieren ).
Phase 3 : VPNFilter-Module in Phase 3 fungieren als Plugins für Phase 2 und erweitern die Funktionalität von VPNFilter. Ein Modul, das als Paket-Sniffer fungiert , den eingehenden Datenverkehr auf dem Gerät sammelt und Anmeldeinformationen stiehlt. Ein anderer Typ ermöglicht es Malware der Stufe 2, sicher über Tor zu kommunizieren . Cisco Talos hat außerdem ein Modul gefunden, das schädliche Inhalte in den durch das Gerät fließenden Datenverkehr einschleuste, was bedeutet, dass Hacker andere verbundene Geräte über Router, IoT- oder NAS-Geräte weiter ausnutzen könnten.
Darüber hinaus ermöglichen die VPNFilter-Module „den Diebstahl von Website-Anmeldeinformationen und die Überwachung von Modbus-SCADA-Protokollen.“
Ein weiteres interessantes (aber nicht neu entdecktes) Merkmal der VPNFilter-Malware ist die Nutzung von Online-Foto-Sharing-Diensten, um die IP-Adresse für ihren C&C-Server zu finden. Die Talos-Analyse ergab, dass die Malware auf eine Reihe von Photobucket-URLs verweist. Die Malware lädt das erste Bild in der URL-Referenzgalerie herunter und extrahiert die in den Bildmetadaten verborgene Server -IP-Adresse .
Die IP-Adresse „wird aus den 6 ganzzahligen Werten für GPS-Breitengrad und -Längengrad in den EXIF- Informationen extrahiert .“ Wenn dies fehlschlägt, kehrt die Malware der Stufe 1 zu ihrer regulären Domäne (toknowall.com – mehr dazu weiter unten) zurück, um das Bild herunterzuladen und den gleichen Vorgang durchzuführen.
Der Update-Bericht von Talos zeigt einige interessante Details zum Paket-Sniffing-Modul VPNFilter. Anstatt in alles einzugreifen, gibt es strenge Regeln, die auf bestimmte Arten von Datenverkehr abzielen. Insbesondere wird der Datenverkehr von einem industriellen Steuerungssystem (SCADA) über das TP-Link R600 VPN mit einer vordefinierten Liste von IP-Adressen (was auf fortgeschrittene Netzwerkkenntnisse hinweist) und dem gewünschten Datenverkehr verbunden, sowie mit Datenpaketen von 150 Byte bzw größer.
„VPNFilter sucht nach sehr spezifischen Dingen“, sagte Craig William, Senior Technology Lead und Global Reach Manager bei Talos, gegenüber Ars. Sie versuchen nicht, so viel Verkehr wie möglich zu sammeln. Sie versuchen nur, an einige sehr kleine Dinge wie Anmeldeinformationen und Passwörter zu gelangen. Wir haben nicht viele Informationen darüber, außer zu wissen, dass es sehr zielgerichtet und äußerst raffiniert ist. Wir versuchen immer noch herauszufinden, bei wem sie diese Methode anwenden.“
Es wird angenommen, dass VPNFilter das Werk einer staatlich geförderten Hackergruppe ist. Die VPNFilter-Infektion wurde ursprünglich in der Ukraine entdeckt und viele Quellen gehen davon aus, dass sie das Werk der von Russland unterstützten Hackergruppe Fancy Bear ist.
Allerdings hat kein Land und keine Hackergruppe die Verantwortung für diese Malware übernommen. Angesichts der detaillierten und gezielten Regeln der Malware für SCADA und andere industrielle Systemprotokolle erscheint die Theorie, dass die Software von einem Nationalstaat unterstützt wird, am wahrscheinlichsten.
Das FBI geht jedoch davon aus, dass VPNFilter ein Produkt von Fancy Bear ist. Im Mai 2018 beschlagnahmte das FBI eine Domain – ToKnowAll.com –, von der angenommen wird, dass sie zur Installation und Steuerung von VPNFilter-Malware der Stufen 2 und 3 verwendet wurde hat das Problem nicht vollständig gelöst. Der Sicherheitsdienst der Ukraine (SBU) verhinderte im Juli 2018 einen VPNFilter-Angriff auf eine Chemieverarbeitungsanlage.
VPNFilter weist auch Ähnlichkeiten mit der BlackEnergy-Malware auf, einem APT- Trojaner, der gegen eine Reihe von Zielen in der Ukraine eingesetzt wird. Obwohl es keine genauen Beweise gibt, kommen Angriffe auf ukrainische Systeme hauptsächlich von Hackergruppen mit engen Verbindungen zu Russland.
Möglicherweise ist Ihr Router nicht mit VPNFilter-Malware infiziert. Dennoch ist es besser, sicherzustellen, dass Ihr Gerät sicher ist:
Überprüfen Sie Ihren Router mit dem Link: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Wenn Ihr Gerät nicht in der Liste aufgeführt ist, ist alles in Ordnung.
Sie können die VPNFilter-Testseite von Symantec besuchen: http://www.symantec.com/filtercheck/. Aktivieren Sie das Kontrollkästchen „Allgemeine Geschäftsbedingungen“ und klicken Sie dann in der Mitte auf die Schaltfläche „VPNFilter-Prüfung ausführen“ . Der Test wird in wenigen Sekunden abgeschlossen sein.
Wenn Symantec VPNFilter Check bestätigt, dass Ihr Router mit VPNFilter infiziert ist, müssen Sie die folgenden Maßnahmen ergreifen.
Darüber hinaus müssen Sie auf jedem Gerät, das mit dem mit VPNFilter infizierten Router verbunden ist, einen vollständigen Systemscan durchführen.
Der effektivste Weg, VPNFilter-Malware zu entfernen, ist die Verwendung einer Antivirensoftware sowie einer Anwendung zum Entfernen von Malware. Beide Tools können diesen Virus erkennen, bevor er Ihren Computer und Router tatsächlich infiziert.
Abhängig von der Geschwindigkeit Ihres Computers kann es mehrere Stunden dauern, bis eine Antivirensoftware den Vorgang abgeschlossen hat. Sie bietet Ihnen aber auch die besten Methoden zum Entfernen schädlicher Dateien.
Es lohnt sich auch, ein Tool zum Entfernen von Malware zu installieren, das Malware wie VPNFilter erkennt und tötet, bevor sie Probleme verursacht.
Wie bei Antivirensoftware kann der Malware-Scanvorgang je nach Größe und Geschwindigkeit der Festplatte Ihres Computers viele Stunden dauern.
Wie andere Viren müssen Sie auch VPNFilter-Malware von Ihrem Router entfernen. Dazu müssen Sie den Router auf die Werkseinstellungen zurücksetzen.
Bei einem Hard-Reset-Router müssen Sie den Router von Grund auf zurücksetzen, einschließlich der Erstellung eines neuen Administratorkennworts und der Einrichtung eines drahtlosen Netzwerks für alle Geräte. Es wird einige Zeit dauern, es richtig zu machen.
Sie sollten nach Möglichkeit immer die Standardanmeldeinformationen Ihres Routers sowie aller IoT- oder NAS-Geräte ändern (diese Aufgabe ist auf IoT-Geräten nicht einfach). Darüber hinaus gibt es zwar Hinweise darauf, dass VPNFilter einige Firewalls umgehen kann , aber die ordnungsgemäße Installation und Konfiguration einer Firewall hilft dennoch dabei, viele andere Schädlinge von Ihrem Netzwerk fernzuhalten.
Der effektivste Weg, VPNFilter-Malware zu entfernen, ist die Verwendung von Antivirensoftware
Es gibt einige wichtige Möglichkeiten, wie Sie das Risiko einer erneuten Infektion mit VPNFilter (oder einem anderen Virus) verringern können, einschließlich spezifischer Tipps, die sich direkt auf VPNFilter beziehen.
Der aktualisierte Router ist vor VPNFilter-Malware und anderen Sicherheitsbedrohungen geschützt. Denken Sie immer daran, es so schnell wie möglich zu aktualisieren.
Verwenden Sie nicht das vom Router-Hersteller festgelegte Standardkennwort. Erstellen Sie Ihre eigenen Passwörter, die sicherer sind und weniger anfällig für Angriffe durch böswillige Akteure sind.
Halten Sie Ihre Antiviren- und Anti-Malware-Programme auf dem neuesten Stand. Regelmäßig werden neue Virendefinitionen veröffentlicht, die Ihren PC über neue Viren- und Malware-Bedrohungen informieren, nach denen er suchen muss.
Es ist wichtig, die Quelle der heruntergeladenen Programme und Anwendungen genau zu kennen. Weniger seriöse Websites verfügen über viele Add-ons, die Sie nicht benötigen, wie zum Beispiel VPNFilter.
Wenn beim Durchsuchen einer Website ein Banner erscheint, klicken Sie nicht darauf. Normalerweise ist es am sichersten, eine andere Website zu besuchen und nicht eine Website voller Pop-up-Anzeigen.
Malware auf Routern erfreut sich immer größerer Beliebtheit. Malware- und IoT-Schwachstellen gibt es überall, und da immer mehr Geräte online sind, wird sich die Situation nur noch verschlimmern. Der Router ist der zentrale Datenpunkt in Ihrem Zuhause. Es erhält jedoch nicht so viel Sicherheitsaufmerksamkeit wie andere Geräte. Einfach ausgedrückt: Router sind nicht so sicher, wie Sie denken.
Mehr sehen:
In diesem Artikel erfahren Sie, wie Sie den Internetzugriff für Benutzer oder Computer im Active Directory-Gruppenrichtlinienobjekt blockieren. Lernen Sie effektive Methoden, moderne Sicherheitsprotokolle und Best Practices kennen.
Das Formatieren eines USB-Sticks ähnelt dem Formatieren jedes anderen Laufwerks. Hier erfahren Sie, warum und wie Sie USB formatieren sollten, um optimale Ergebnisse zu erzielen.
Wenn beim Starten eines Spiels unter Windows 10 der Fehler „Game Security Violation Detected“ angezeigt wird, sind die Lösungen einfach und effektiv. Hier erfahren Sie, wie Sie dieses Problem beheben können.
Wechseln Sie mühelos zwischen Audiogeräten unter Windows 10 mit Tastenkombinationen. Erfahren Sie, wie Sie den Audio-Umschalter effizient nutzen.
Entdecken Sie 8 einfache Möglichkeiten, MSConfig in Windows 11 zu öffnen, um zahlreiche Probleme effizient zu beheben.
Freunde und Familienmitglieder zu trollen macht Spaß mit diesen harmlosen gefälschten Viren. Hier sind vier kreative Ideen, um Ihre Freunde zum Lachen zu bringen.
Entdecken Sie die Unterschiede zwischen Virtualisierung und Emulation sowie deren Vor- und Nachteile. Erfahren Sie, wie diese Technologien in modernen IT-Umgebungen eingesetzt werden.
Device Guard ist ein wichtiges Sicherheitsfeature in Windows 10, das sicherstellt, dass nur vertrauenswürdige Anwendungen ausgeführt werden. So aktivieren oder deaktivieren Sie es.
Erfahren Sie, wie Sie vDOS verwenden, um alte DOS-Software unter Windows 10 auszuführen. Dieser Emulator ist ideal für die Nutzung älterer Programme, bietet jedoch keine optimale Lösung für Spiele.
Wenn Sie Probleme mit USB-Geräten auf Ihrem Windows 11-Computer haben, sollten Sie die Funktion „USB Selective Suspend“ deaktivieren.
