VPNFilter マルウェアを今すぐ特定して修正する方法

すべてのマルウェアではない 平等に作られています。この証拠の 1 つは、VPNFilter マルウェア の存在です。 は、破壊的な特性を持つ新種のルーター マルウェアです。他のほとんどのモノのインターネット (IoT) の脅威とは異なり、再起動に耐えられるという明確な特徴があります。

この記事では、VPNFilter マルウェアとそのターゲット リストを特定する方法について説明します。また、そもそもシステムに大混乱をもたらすのを防ぐ方法もお教えします.

VPNFilter マルウェアとは?

VPNFilter は、ルーター、IoT デバイス、さらにはネットワーク接続ストレージ (NAS) デバイスを脅かす破壊的なマルウェアと考えてください。これは、主にさまざまなメーカーのネットワーク デバイスを標的とする、高度なモジュール型マルウェアの亜種と考えられています。

最初に、このマルウェアは Linksys、NETGEAR、MikroTik、および TP-Link ネットワーク デバイスで検出されました。 QNAP NAS デバイスでも発見されました。現在までに、54 か国で約 500,000 件の感染があり、その大規模なリーチと存在を示しています。

VPNFilter を公開したチームである Cisco Talos が提供 マルウェアとその周辺の技術的な詳細に関する広範なブログ投稿。見た目から、ASUS、D-Link、Huawei、UPVEL、Ubiqiuiti、ZTE のネットワーク機器に感染の兆候があります。

他のほとんどの IoT を標的とするマルウェアとは異なり、VPNFilter はシステムの再起動後も存続するため、排除するのは困難です。デフォルトのログイン資格情報を使用するデバイス、またはファームウェアの更新がまだ行われていない既知のゼロデイ脆弱性を持つデバイスは、その攻撃に対して脆弱であることが証明されています.

VPNFilter マルウェアの影響を受けることがわかっているデバイス

企業と小規模オフィスまたはホーム オフィスのルーターの両方が、このマルウェアの標的であることが知られています。次のルーターのブランドとモデルに注意してください:

• Asus RT-AC66U
• Asus RT-N10
• Asus RT-N10E
• Asus RT-N10U
• Asus RT-N56U
• Asus RT-N66U
• D リンク DES-1210-08P
• D リンク DIR-300
• D リンク DIR-300A
• D-Link DSR-250N
• D-Link DSR-500N
• D-Link DSR-1000
• D-Link DSR-1000N
• Linksys E1200
• Linksys E2500
• Linksys E3000
• Linksys E3200
• Linksys E4200
• リンクシス RV082
• ファーウェイ HG8245
• Linksys WRVS4400N
• ネットギア DG834
• ネットギア DGN1000
• ネットギア DGN2200
• ネットギア DGN3500
• ネットギア FVS318N
• ネットギア MBRN3000
• ネットギア R6400
• ネットギア R7000
• ネットギア R8000
• ネットギア WNR1000
• ネットギア WNR2000
• ネットギア WNR2200
• ネットギア WNR4000
• ネットギア WNDR3700
• ネットギア WNDR4000
• ネットギア WNDR4300
• ネットギア WNDR4300-TN
• ネットギア UTM50
• MikroTik CCR1009
• MikroTik CCR1016
• MikroTik CCR1036
• MikroTik CCR1072
• MikroTik CRS109
• MikroTik CRS112
• MikroTik CRS125
• マイクロティック RB411
• MikroTik RB450
• MikroTik RB750
• MikroTik RB911
• MikroTik RB921
• MikroTik RB941
• マイクロティック RB951
• マイクロティック RB952
• MikroTik RB960
• MikroTik RB962
• MikroTik RB1100
• MikroTik RB1200
• MikroTik RB2011
• MikroTik RB3011
• MikroTik RB グルーヴ
• MikroTik RB オムニティック
• MikroTik STX5
• TP-Link R600VPN
• TP-Link TL-WR741ND
• TP リンク TL-WR841N
• ユビキティ NSM2
• ユビキティ PBE M5
• Upvel デバイス - 不明なモデル
• ZTE デバイス ZXHN H108N
• QNAP TS251
• QNAP TS439 Pro
• QTS ソフトウェアを実行しているその他の QNAP NAS デバイス

標的となったほとんどのデバイスに共通する特徴は、デフォルトの認証情報を使用していることです。また、特に古いバージョンでは既知の脆弱性があります。

VPNFilter マルウェアは感染したデバイスに対して何をしますか?

VPNFilter は、影響を受けるデバイスに衰弱損傷を引き起こすだけでなく、データ収集方法としても機能します。 3 つの段階で機能します:

ステージ 1

これは、インストールと、ターゲット デバイスでの永続的なプレゼンスの維持を示します。マルウェアはコマンド アンド コントロール (C&C) サーバーに接続して、追加のモジュールをダウンロードし、指示を待ちます。この段階では、脅威の展開中にインフラストラクチャの変更が発生した場合に備えて、ステージ 2 の C&C を見つけるための冗長性が組み込まれています。ステージ 1 VPNFilter は再起動に耐えることができます。

ステージ 2

これは主なペイロードを特徴としています。再起動後は持続できませんが、より多くの機能があります。ファイルを収集し、コマンドを実行し、データの流出とデバイス管理を実行できます。攻撃者からコマンドを受け取ると、マルウェアはデバイスを「ブリック」することができます。これは、デバイスのファームウェアの一部を上書きし、その後再起動することで実行されます。犯罪行為により、デバイスが使用できなくなります。

ステージ 3

これにはいくつかの既知のモジュールが存在し、ステージ 2 のプラグインとして機能します。これらは、デバイスを介してルーティングされるトラフィックをスパイするパケット スニファーを構成し、Web サイトの資格情報の盗難と Modbus SCADA プロトコルの追跡を可能にします。別のモジュールにより、ステージ 2 は Tor 経由で安全に通信できます。 Cisco Talos の調査に基づいて、1 つのモジュールが悪意のあるコンテンツをデバイスを通過するトラフィックに提供します。このようにして、攻撃者は接続されたデバイスにさらに影響を与えることができます.

6 月 6 日に、さらに 2 つのステージ 3 モジュールが公開されました。最初のものは「ssler」と呼ばれ、ポート 80 を使用してデバイスを通過するすべてのトラフィックを傍受できます。これにより、攻撃者は Web トラフィックを表示して傍受し、中間者攻撃を実行できます。たとえば、HTTPS リクエストを HTTP リクエストに変更し、暗号化されていると思われるデータを安全でない状態で送信する可能性があります。 2 つ目は「dstr」と呼ばれ、この機能がないステージ 2 モジュールに kill コマンドを組み込みます。実行されると、マルウェアがデバイスをブリックする前に、マルウェアの痕跡をすべて排除します。

9 月 26 日に公開されたさらに 7 つのステージ 3 モジュールは次のとおりです。

• htpx – ssler と同じように機能し、感染したデバイスを通過するすべての HTTP トラフィックをリダイレクトして検査し、Windows 実行可能ファイルを特定してログに記録します。感染したルーターを通過する際に、実行可能ファイルをトロイの木馬化することができます。これにより、攻撃者は同じネットワークに接続されたさまざまなマシンにマルウェアをインストールできます。
• ndbr – これは多機能 SSH ツールと見なされます。
• nm – このモジュールは、ローカル サブネットをスキャンするためのネットワーク マッピング兵器です。
• ネットフィルター – このサービス拒否ユーティリティは、暗号化されたアプリへのアクセスをブロックする可能性があります。
• ポート転送 – 攻撃者によって決定されたインフラストラクチャにネットワーク トラフィックを転送します。
• socks5proxy – 脆弱なデバイスで SOCKS5 プロキシを確立できます。

明らかになった VPNFilter の起源

このマルウェアは、国家が支援するハッキング組織の仕業である可能性があります。最初の感染は主にウクライナで発生し、ハッキング グループの Fancy Bear とロシアが支援するグループによるものであることが簡単にわかりました。

ただし、これは VPNFilter の洗練された性質を示しています。明確な発信元や特定のハッキング グループと関連付けることはできません。他の産業システム プロトコルと並んで SCADA には包括的なマルウェア ルールとターゲティングがあるため、国家のスポンサーが推測されています。

ただし、FBI に尋ねるとしたら、VPNFilter は Fancy Bear の発案によるものです。 2018 年 5 月に、政府機関は ToKnowAll.com ドメインを押収しました。このドメインは、ステージ 2 および 3 の VPNFilter のインストールとコマンド実行に役立つと考えられていました。差し押さえはマルウェアの拡散を食い止めるのに役立ちましたが、主要なソースに取り組むことはできませんでした。

5 月 25 日の発表で、FBI は、ユーザーが自宅で Wi-Fi ルーターを再起動して、外国を拠点とする大規模なマルウェア攻撃を阻止するよう緊急に要求しています。当時、この機関は、小規模オフィスや家庭の Wi-Fi ルーターやその他のネットワーク デバイスを侵害した外国のサイバー犯罪者を 10 万人も特定しました。

私は普通のユーザーです – VPNFilter 攻撃は私にとって何を意味しますか?

幸いなことに、上記で提供した VPNFilter ルーター リストを確認した場合、お使いのルーターに迷惑なマルウェアが潜んでいる可能性は低いということです.しかし、常に注意を怠るのが最善です。たとえば、Symantec は VPNFilter チェックを実行するため、影響を受けているかどうかをテストできます。チェックの実行には数秒しかかかりません。

さて、これが問題です。本当に感染したら？次の手順を確認してください:

• ルーターをリセットします。次に、VPNFilter チェックをもう一度実行します。
• ルーターを工場出荷時の設定にリセットします。
• 端末のリモート管理設定を無効にすることを検討してください。
• ルーターの最新のファームウェアをダウンロードします。プロセスの進行中にルーターがオンライン接続を確立することなく、ファームウェアのクリーン インストールを完了することが理想的です。
• 感染したルーターに接続されているコンピュータまたはデバイスで、システムの完全スキャンを完了します。信頼できる PC 最適化ツールを使用して、信頼できるマルウェア スキャナーと連携させることを忘れないでください。
• 接続を保護します。一流のオンライン プライバシーとセキュリティの実績を持つ高品質の有料 VPN で身を守りましょう。
• ルーターやその他の IoT または NAS デバイスのデフォルトのログイン認証情報を変更する習慣を身につけてください。
• ファイアウォールをインストールして適切に構成し、ネットワークから悪意のあるものを排除します。
• 強力で一意のパスワードでデバイスを保護します。
• 暗号化を有効にします。

ルーターが影響を受ける可能性がある場合は、製造元の Web サイトで、デバイスを保護するための新しい情報と手順を確認することをお勧めします。すべての情報がルーターを通過するため、これはすぐに実行できる手順です。ルーターが侵害されると、デバイスのプライバシーとセキュリティが危険にさらされます。

まとめ

VPNFilter マルウェアは、最近の歴史の中で、企業、小規模オフィス、またはホーム ルーターを攻撃する最強かつ最も破壊不可能な脅威の 1 つになる可能性があります。最初は、Linksys、NETGEAR、MikroTik、および TP-Link ネットワーク デバイスと QNAP NAS デバイスで検出されました。影響を受けるルーターのリストは上記にあります。

VPNFilter は、54 か国で約 500,000 件の感染を開始した後、無視できません。 3 段階で機能し、ルーターを動作不能にし、ルーターを通過する情報を収集し、さらにはネットワーク トラフィックをブロックします。そのネットワーク アクティビティを検出して分析することは、依然として困難な作業です。

この記事では、マルウェアから身を守る方法と、ルーターが侵害された場合に実行できる手順について概説しました.結果は悲惨なので、デバイスをチェックするという重要なタスクに座ってはいけません.