Malware auf Routern, Netzwerkgeräten und im Internet der Dinge kommt immer häufiger vor. Die meisten von ihnen infizieren anfällige Geräte und gehören zu sehr mächtigen Botnetzen. Router und IoT-Geräte (Internet of Things) sind immer mit Strom versorgt, immer online und warten auf Anweisungen. Und Botnets machen sich das zunutze, um diese Geräte anzugreifen.
Aber nicht jede Schadsoftware ( Malware ) ist gleich.
VPNFilter ist eine zerstörerische Malware, die Router, IoT-Geräte und sogar einige NAS-Geräte (Network Attached Storage) angreift. Wie erkennen Sie, ob Ihre Geräte mit VPNFilter-Malware infiziert sind? Und wie kann man es entfernen? Schauen wir uns VPNFilter im folgenden Artikel genauer an.
Was ist Malware VPNFilter? Wie entferne ich es?
VPNFilter ist eine hochentwickelte modulare Malware-Variante, die vor allem auf Netzwerkgeräte verschiedener Hersteller sowie NAS-Geräte abzielt. VPNFilter wurde ursprünglich auf Linksys- , MikroTik-, NETGEAR- und TP-Link- Netzwerkgeräten sowie QNAP-NAS-Geräten gefunden und verzeichnete etwa 500.000 Infektionen in 54 Ländern.
Das VPNFilter-Entdeckungsteam Cisco Talos hat kürzlich Details zu dieser Malware aktualisiert und zeigt, dass Netzwerkgeräte von Herstellern wie ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE derzeit Anzeichen einer Infektion mit VPNFilter aufweisen. Zum Zeitpunkt des Verfassens dieses Artikels waren jedoch keine Cisco-Netzwerkgeräte betroffen.
Diese Malware unterscheidet sich von der meisten anderen IoT-fokussierten Malware, da sie auch nach Systemneustarts bestehen bleibt und somit schwieriger zu entfernen ist. Besonders gefährdet sind Geräte, die ihre Standard-Anmeldeinformationen verwenden oder Zero-Day-Schwachstellen (unbekannte Schwachstellen in Computersoftware) aufweisen und nicht regelmäßig mit Firmware aktualisiert werden.
VPNFilter ist ein „Multi-Modul, plattformübergreifend“, das Geräte beschädigen und zerstören kann. Darüber hinaus kann das Sammeln von Benutzerdaten auch zu einer besorgniserregenden Bedrohung werden. VPNFilter arbeitet in mehreren Stufen.
Phase 1 : VPNFilter richtet in Phase 1 eine Landestelle auf dem Gerät ein, kontaktiert den Command and Control (C&C)-Server, um zusätzliche Module herunterzuladen, und wartet auf Anweisungen. Phase 1 verfügt außerdem über mehrere integrierte Eventualitäten zur Positionierung von Phase 2 C&C im Falle von Infrastrukturänderungen während der Implementierung. VPNFilter-Malware der Stufe 1 kann auch Neustarts überstehen, was sie zu einer sehr gefährlichen Bedrohung macht.
Stufe 2 : VPNFilter in Stufe 2 bleibt nach einem Neustart nicht bestehen, verfügt jedoch in dieser Phase über viele Funktionen. Phase 2 kann persönliche Daten sammeln, Befehle ausführen und in die Geräteverwaltung eingreifen. Darüber hinaus gibt es in der Praxis unterschiedliche Versionen der Phase 2. Einige Versionen sind mit einem zerstörerischen Modul ausgestattet, das eine Partition der Geräte -Firmware überschreibt und dann neu startet, um das Gerät unbrauchbar zu machen (im Wesentlichen die Deaktivierung der Malware). Router- , IoT- oder NAS- Geräte konfigurieren ).
Phase 3 : VPNFilter-Module in Phase 3 fungieren als Plugins für Phase 2 und erweitern die Funktionalität von VPNFilter. Ein Modul, das als Paket-Sniffer fungiert , den eingehenden Datenverkehr auf dem Gerät sammelt und Anmeldeinformationen stiehlt. Ein anderer Typ ermöglicht es Malware der Stufe 2, sicher über Tor zu kommunizieren . Cisco Talos hat außerdem ein Modul gefunden, das schädliche Inhalte in den durch das Gerät fließenden Datenverkehr einschleuste, was bedeutet, dass Hacker andere verbundene Geräte über Router, IoT- oder NAS-Geräte weiter ausnutzen könnten.
Darüber hinaus ermöglichen die VPNFilter-Module „den Diebstahl von Website-Anmeldeinformationen und die Überwachung von Modbus-SCADA-Protokollen.“
Ein weiteres interessantes (aber nicht neu entdecktes) Merkmal der VPNFilter-Malware ist die Nutzung von Online-Foto-Sharing-Diensten, um die IP-Adresse für ihren C&C-Server zu finden. Die Talos-Analyse ergab, dass die Malware auf eine Reihe von Photobucket-URLs verweist. Die Malware lädt das erste Bild in der URL-Referenzgalerie herunter und extrahiert die in den Bildmetadaten verborgene Server -IP-Adresse .
Die IP-Adresse „wird aus den 6 ganzzahligen Werten für GPS-Breitengrad und -Längengrad in den EXIF- Informationen extrahiert .“ Wenn dies fehlschlägt, kehrt die Malware der Stufe 1 zu ihrer regulären Domäne (toknowall.com – mehr dazu weiter unten) zurück, um das Bild herunterzuladen und den gleichen Vorgang durchzuführen.
Der Update-Bericht von Talos zeigt einige interessante Details zum Paket-Sniffing-Modul VPNFilter. Anstatt in alles einzugreifen, gibt es strenge Regeln, die auf bestimmte Arten von Datenverkehr abzielen. Insbesondere wird der Datenverkehr von einem industriellen Steuerungssystem (SCADA) über das TP-Link R600 VPN mit einer vordefinierten Liste von IP-Adressen (was auf fortgeschrittene Netzwerkkenntnisse hinweist) und dem gewünschten Datenverkehr verbunden, sowie mit Datenpaketen von 150 Byte bzw größer.
„VPNFilter sucht nach sehr spezifischen Dingen“, sagte Craig William, Senior Technology Lead und Global Reach Manager bei Talos, gegenüber Ars. Sie versuchen nicht, so viel Verkehr wie möglich zu sammeln. Sie versuchen nur, an einige sehr kleine Dinge wie Anmeldeinformationen und Passwörter zu gelangen. Wir haben nicht viele Informationen darüber, außer zu wissen, dass es sehr zielgerichtet und äußerst raffiniert ist. Wir versuchen immer noch herauszufinden, bei wem sie diese Methode anwenden.“
Es wird angenommen, dass VPNFilter das Werk einer staatlich geförderten Hackergruppe ist. Die VPNFilter-Infektion wurde ursprünglich in der Ukraine entdeckt und viele Quellen gehen davon aus, dass sie das Werk der von Russland unterstützten Hackergruppe Fancy Bear ist.
Allerdings hat kein Land und keine Hackergruppe die Verantwortung für diese Malware übernommen. Angesichts der detaillierten und gezielten Regeln der Malware für SCADA und andere industrielle Systemprotokolle erscheint die Theorie, dass die Software von einem Nationalstaat unterstützt wird, am wahrscheinlichsten.
Das FBI geht jedoch davon aus, dass VPNFilter ein Produkt von Fancy Bear ist. Im Mai 2018 beschlagnahmte das FBI eine Domain – ToKnowAll.com –, von der angenommen wird, dass sie zur Installation und Steuerung von VPNFilter-Malware der Stufen 2 und 3 verwendet wurde hat das Problem nicht vollständig gelöst. Der Sicherheitsdienst der Ukraine (SBU) verhinderte im Juli 2018 einen VPNFilter-Angriff auf eine Chemieverarbeitungsanlage.
VPNFilter weist auch Ähnlichkeiten mit der BlackEnergy-Malware auf, einem APT- Trojaner, der gegen eine Reihe von Zielen in der Ukraine eingesetzt wird. Obwohl es keine genauen Beweise gibt, kommen Angriffe auf ukrainische Systeme hauptsächlich von Hackergruppen mit engen Verbindungen zu Russland.
Möglicherweise ist Ihr Router nicht mit VPNFilter-Malware infiziert. Dennoch ist es besser, sicherzustellen, dass Ihr Gerät sicher ist:
Überprüfen Sie Ihren Router mit dem Link: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Wenn Ihr Gerät nicht in der Liste aufgeführt ist, ist alles in Ordnung.
Sie können die VPNFilter-Testseite von Symantec besuchen: http://www.symantec.com/filtercheck/. Aktivieren Sie das Kontrollkästchen „Allgemeine Geschäftsbedingungen“ und klicken Sie dann in der Mitte auf die Schaltfläche „VPNFilter-Prüfung ausführen“ . Der Test wird in wenigen Sekunden abgeschlossen sein.
Wenn Symantec VPNFilter Check bestätigt, dass Ihr Router mit VPNFilter infiziert ist, müssen Sie die folgenden Maßnahmen ergreifen.
Darüber hinaus müssen Sie auf jedem Gerät, das mit dem mit VPNFilter infizierten Router verbunden ist, einen vollständigen Systemscan durchführen.
Der effektivste Weg, VPNFilter-Malware zu entfernen, ist die Verwendung einer Antivirensoftware sowie einer Anwendung zum Entfernen von Malware. Beide Tools können diesen Virus erkennen, bevor er Ihren Computer und Router tatsächlich infiziert.
Abhängig von der Geschwindigkeit Ihres Computers kann es mehrere Stunden dauern, bis eine Antivirensoftware den Vorgang abgeschlossen hat. Sie bietet Ihnen aber auch die besten Methoden zum Entfernen schädlicher Dateien.
Es lohnt sich auch, ein Tool zum Entfernen von Malware zu installieren, das Malware wie VPNFilter erkennt und tötet, bevor sie Probleme verursacht.
Wie bei Antivirensoftware kann der Malware-Scanvorgang je nach Größe und Geschwindigkeit der Festplatte Ihres Computers viele Stunden dauern.
Wie andere Viren müssen Sie auch VPNFilter-Malware von Ihrem Router entfernen. Dazu müssen Sie den Router auf die Werkseinstellungen zurücksetzen.
Bei einem Hard-Reset-Router müssen Sie den Router von Grund auf zurücksetzen, einschließlich der Erstellung eines neuen Administratorkennworts und der Einrichtung eines drahtlosen Netzwerks für alle Geräte. Es wird einige Zeit dauern, es richtig zu machen.
Sie sollten nach Möglichkeit immer die Standardanmeldeinformationen Ihres Routers sowie aller IoT- oder NAS-Geräte ändern (diese Aufgabe ist auf IoT-Geräten nicht einfach). Darüber hinaus gibt es zwar Hinweise darauf, dass VPNFilter einige Firewalls umgehen kann , aber die ordnungsgemäße Installation und Konfiguration einer Firewall hilft dennoch dabei, viele andere Schädlinge von Ihrem Netzwerk fernzuhalten.
Der effektivste Weg, VPNFilter-Malware zu entfernen, ist die Verwendung von Antivirensoftware
Es gibt einige wichtige Möglichkeiten, wie Sie das Risiko einer erneuten Infektion mit VPNFilter (oder einem anderen Virus) verringern können, einschließlich spezifischer Tipps, die sich direkt auf VPNFilter beziehen.
Der aktualisierte Router ist vor VPNFilter-Malware und anderen Sicherheitsbedrohungen geschützt. Denken Sie immer daran, es so schnell wie möglich zu aktualisieren.
Verwenden Sie nicht das vom Router-Hersteller festgelegte Standardkennwort. Erstellen Sie Ihre eigenen Passwörter, die sicherer sind und weniger anfällig für Angriffe durch böswillige Akteure sind.
Halten Sie Ihre Antiviren- und Anti-Malware-Programme auf dem neuesten Stand. Regelmäßig werden neue Virendefinitionen veröffentlicht, die Ihren PC über neue Viren- und Malware-Bedrohungen informieren, nach denen er suchen muss.
Es ist wichtig, die Quelle der heruntergeladenen Programme und Anwendungen genau zu kennen. Weniger seriöse Websites verfügen über viele Add-ons, die Sie nicht benötigen, wie zum Beispiel VPNFilter.
Wenn beim Durchsuchen einer Website ein Banner erscheint, klicken Sie nicht darauf. Normalerweise ist es am sichersten, eine andere Website zu besuchen und nicht eine Website voller Pop-up-Anzeigen.
Malware auf Routern erfreut sich immer größerer Beliebtheit. Malware- und IoT-Schwachstellen gibt es überall, und da immer mehr Geräte online sind, wird sich die Situation nur noch verschlimmern. Der Router ist der zentrale Datenpunkt in Ihrem Zuhause. Es erhält jedoch nicht so viel Sicherheitsaufmerksamkeit wie andere Geräte. Einfach ausgedrückt: Router sind nicht so sicher, wie Sie denken.
Mehr sehen:
Microsoft hat dem Windows 10 Update im April 2018 eine Funktion namens Ultimate Performance hinzugefügt. Es ist verständlich, dass es sich dabei um eine Funktion handelt, die dem System hilft, in den Hochleistungs-Arbeitsmodus zu wechseln.
Wenn Ihnen das neue Symbol für den Datei-Explorer wie Windows 10 Sun Valley gefällt, folgen Sie dem folgenden Artikel, um die völlig neue Benutzeroberfläche für den Datei-Explorer zu ändern.
Die Überprüfung, ob die Webcam auf einem Windows-Computer ordnungsgemäß funktioniert, ist schnell und einfach. Im Folgenden finden Sie die Schritte, die Ihnen bei der Überprüfung der Kamera helfen.
Möglicherweise haben Sie hochwertige Kopfhörer angeschlossen, aber aus irgendeinem Grund versucht der Windows-Laptop ständig, mit seinem schrecklichen eingebauten Mikrofon aufzunehmen. Im folgenden Artikel erfahren Sie, wie Sie das Windows 10-Mikrofon testen.
Wenn Sie es nicht mehr benötigen, können Sie die Option „Mit Malwarebytes scannen“ aus dem Kontextmenü mit der rechten Maustaste entfernen. Hier ist wie.
Das Border Gateway Protocol (BGP) dient zum Austausch von Routing-Informationen für das Internet und ist das zwischen ISPs (unterschiedliche ASs) verwendete Protokoll.
Wenn Sie Tipps lesen, sehen Sie, dass Leute häufig Registrierungs-Hackdateien verwenden, um Windows-Computer anzupassen und zu optimieren, und sich fragen, wie man sie erstellt. Dieser Artikel führt Sie durch die grundlegenden Schritte zum Erstellen Ihrer eigenen Registry-Hack-Datei.
Früher hat Microsoft die Registrierung automatisch gesichert, aber diese Funktion wurde in Windows 10 stillschweigend deaktiviert. In diesem Artikel führt Sie Quantrimang.com durch die Schritte zum automatischen Sichern der Registrierung in einem Ordner. RegBack (Windows\System32\config \RegBack) unter Windows 10.
Bei der Nutzung eines Computers ist es völlig normal, Fehler zu machen.
Ihre Ethernet-Verbindung kann Sie manchmal frustrieren, wenn sie auf Ihrem Windows 10- oder 11-PC ohne ersichtlichen Grund getrennt wird.
