VPNFilter - virüsün silinmesinin nedenleri ve yöntemleri

Son zamanlarda Cisco Talos Intelligence Group tarafından tanımlanan MicroTic VPNFilter olarak bilinen yeni kötü amaçlı yazılım, çoğu küçük işletme ve ofislerin elindeki 500.000'den fazla yönlendirici ve ağ depolama aygıtına (NAS) bulaşmış durumda. Bu virüsü özellikle tehlikeli yapan şey “kalıcı” olarak adlandırılan zarar verme yeteneğine sahip olmasıdır; bu, sadece yönlendirici yeniden başlatılacağı için kaybolmayacağı anlamına gelir.

Virüs yazılımı nasıl kaldırılır - VPNFilter.

VPNFilter Nedir?

Symantec'e göre, "Symantec'in cazibesinden ve algılayıcılarından gelen veriler, diğer IoT tehditlerinden farklı olarak VPNFilter virüsünün taramadığını ve dünyadaki tüm savunmasız cihazları etkilemeye çalıştığını gösteriyor." Bu, belli bir enfeksiyon stratejisinin ve hedefinin olduğu anlamına gelir. Potansiyel hedefler olarak Symantec, Linksys, MikroTik, Netgear, TP-Link ve QNAP cihazlarını tanımladı.

Peki cihazlara nasıl virüs bulaşıyor? Bunlar, bir saldırganın cihazın çalışmasını engelleyebileceği bir tür arka kapı oluşturan yazılım veya donanımdaki kusurlardır. Bilgisayar korsanları, aygıtlara bulaşmak için standart varsayılan adlar ve şifreler kullanır veya düzenli yazılım güncellemeleri veya bellenim ile düzeltilmesi gereken bilinen güvenlik açıkları yoluyla erişim sağlar. Bu, geçen yıl Equifax'tan büyük ihlallere yol açan aynı mekanizmadır ve bu muhtemelen en büyük siber güvenlik açığıdır!

Ayrıca bu bilgisayar korsanlarının kim olduğu ve niyetlerinin ne olduğu da belirsiz. Virüs bulaşmış cihazları işe yaramaz hale getirecek büyük çaplı bir saldırı planlandığı varsayılmaktadır. Tehdit o kadar geniştir ki, Adalet Bakanlığı ve FBI kısa süre önce mahkemenin kırıldığından şüphelenilen cihazlara el koymaya karar verdiğini duyurdu. Mahkemenin kararı, mağdur aracın tanımlanmasına, hackerların kişisel ve diğer gizli bilgileri çalma yeteneklerini ihlal etmesine ve VPNFilter Trojanının yıkıcı siber saldırıları gerçekleştirmesine yardımcı olacak.

Virüs nasıl çalışır?

VPNFIlter, istihbarat toplanmasının kurbanı olmak ve hatta bir açıklama işlemi yapmak için, amacı sizin bilgisayarınız olan çok karmaşık bir iki aşamalı enfeksiyon yöntemini kullanır. Virüsün ilk aşaması yönlendiricinizi veya hub'ınızı yeniden başlatmayı içerir. VPNFilter kötü amaçlı yazılımları birincil olarak yönlendiricilerin yanı sıra, İnternet'e bağlı diğer aygıtların yanı sıra Mirai kötü amaçlı yazılımlarını da hedeflediğinden, bu, merkezi sunucuların başarılı bir şekilde tehlikeye atılması sonucu gerçekleşmeyen otomatik bir botnet saldırısı sonucunda gerçekleşebilir. Enfeksiyon, akıllı bir cihazın yeniden başlatılmasına neden olan bir istismarla gerçekleşir. Bu aşamada temel amaç, kısmi bir kontrol altına almak ve yeniden başlatma işlemi tamamlandıktan sonra 2. aşamadaki konuşlandırmayı sağlamaktır. Faz 1 fazları aşağıdaki gibidir:

  1. Photobucket'ten bir fotoğraf yükler.
  2. Exploits başlatılır ve IP adreslerini çağırmak için meta veriler kullanılır.
  3. Virüs sunucuya bağlanır ve kötü amaçlı bir programı indirir ve ardından otomatik olarak çalıştırır.

Araştırmacıların bildirdiği gibi, enfeksiyonun ilk aşaması ile ayrı URL'ler olarak, sahte foto-nesne kullanıcılarının kütüphaneleri vardır:

  • com.tr / user / nikkireed11 / kütüphane
  • com.tr / user / kmila302 / kütüphane
  • com.tr / user / lisabraun87 / kütüphane
  • com.tr / user / eva_green1 / library
  • com.tr / user / monicabelci4 / kütüphane
  • com.tr / user / katyperry45 / kütüphane
  • com.tr / user / saragray1 / kütüphane
  • com / user / millerfred / kütüphane
  • com.tr / user / jeniferaniston1 / kütüphane
  • com.tr / user / amandaseyfried1 / library
  • com.tr / user / suwe8 / kütüphane
  • com.tr / user / bob7301 / kütüphane

Enfeksiyonun ikinci aşaması başlar başlamaz, VPNFilter kötü amaçlı yazılımın gerçek yetenekleri daha da genişler. Bunlar aşağıdaki eylemlerde virüs kullanımını içerir:

  • Bir C & C sunucusuna bağlanır.
  • Tor, PS ve diğer eklentileri gerçekleştirir.
  • Veri toplama, komut çalıştırma, dosya hırsızlığı, cihaz yönetimi gibi kötü amaçlı eylemler gerçekleştirir.
  • Kendi kendini imha etme faaliyetlerini gerçekleştirebilir.

IP adresi enfeksiyonunun ikinci aşaması ile ilişkili:

  • 121109209
  • 12.202.40
  • 242.222.68
  • 118242124
  • 151.209.33
  • 79.179.14
  • 214203144
  • 211198231
  • 154.180.60
  • 149.250.54
  • 200.13.76
  • 185.80.82
  • 210180229

Bu iki aşamaya ek olarak, Cisco Talos'taki siber güvenlik araştırmacıları, amacı hala bilinmeyen bir faz 3 sunucusunda rapor ettiler.

Hassas yönlendiriciler

Her yönlendirici VPNFilter'dan muzdarip olamaz. Symantec, hangi yönlendiricilerin savunmasız olduğunu ayrıntılı olarak açıklar. Bugün VPNFilter, Linksys, MikroTik, Netgear ve TP-Link yönlendiricilerin yanı sıra QNAP ağa bağlı (NAS) aygıtlarını da etkileyebilir. Bunlar şunları içerir:

  • Linksys e1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik Router (1016, 1036 ve 1072 bulut çekirdek sürümlerine sahip yönlendiriciler için)
  • Netgear DGN2200
  • Netgear r6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • QTS yazılımı olan diğer QNAP NAS cihazları
  • TP-Link R600VPN

Yukarıdaki cihazlardan birine sahipseniz, VPNFilter'ı kaldırma hakkındaki güncellemeler ve ipuçları için üreticinizin destek sayfasına bakın. Çoğu üretici, sizi VPNFilter saldırı vektörlerinden tamamen korumak zorunda olan bir ürün yazılımı güncellemesine zaten sahiptir.

Yönlendiricinin virüslü olduğunu belirleme

Yönlendiricinin enfeksiyon derecesini Kaspersky Anti-Virus da dahil olmak üzere belirlemek mümkün değildir. Önde gelen tüm dünya şirketlerinin BT uzmanları bu sorunu henüz çözmedi. Şimdiye kadar önerebilecekleri tek tavsiye, cihazı fabrika ayarlarına sıfırlamak.

Yönelticiyi yeniden başlatmak VPNFilter enfeksiyonundan kurtulmanıza yardımcı olur

Yönlendiriciyi yeniden başlatmak, virüsün yalnızca ilk iki aşamada gelişmesini önlemeye yardımcı olacaktır. Hâlâ yönlendiriciye bulaşacak kötü amaçlı yazılım izleri var. Sorunu çözmek, cihazın fabrika ayarlarına sıfırlanmasına yardımcı olacaktır.

VPNFilter nasıl kaldırılır ve yönlendiricinizi veya NAS'ınızı nasıl korursunuz?

Symantec’in önerileri doğrultusunda, cihazı yeniden başlatmanız ve ardından güncelleme ve yanıp sönme için gerekli tüm işlemleri hemen uygulamanız gerekir. Kolay geliyor, ama yine de, sürekli yazılım ve ürün yazılımı güncellemelerinin olmayışı, siber saldırıların en yaygın nedenidir. Netgear ayrıca kullanıcılarına, uzaktan kumanda özelliklerini devre dışı bırakmalarını önerir. Linksys, cihazlarını en az birkaç günde bir kez yeniden başlatmanızı önerir.

Yönelticinizi basit bir şekilde temizlemek ve sıfırlamak sorunu her zaman tamamen ortadan kaldırmaz, çünkü kötü amaçlı yazılım yönlendiricinizin ürün yazılımı nesnelerini derinden etkileyebilecek karmaşık bir tehdit oluşturabilir. Bu nedenle ilk adım ağınızın bu kötü amaçlı yazılıma maruz kaldığını kontrol etmektir. Cisco araştırmacıları, aşağıdaki adımları tamamlayarak bunu şiddetle tavsiye eder:

  1. “VPNFilter C2” adında yeni bir ana bilgisayar grubu oluşturun ve Java UI aracılığıyla harici ana bilgisayarların altında konumlandırın.
  2. Bundan sonra, grubun kendisinin cihazındaki “kişilerini” kontrol ederek grubun veri alışverişinde bulunduğunu onaylayın.
  3. Etkin trafik yoksa, araştırmacılar ağ yöneticilerine bir bağlantı kesme sinyali oluşturmalarını önerir; bu, bir etkinlik oluşturarak ve web tabanlı kullanıcı arabiriminde bir ana bilgisayarı seçerek, bir ana bilgisayar grubunda trafik meydana gelir gelmez bildirir.

Şu anda yönlendiriciyi yeniden başlatmanız gerekir. Bunu yapmak için, 30 saniye boyunca güç kaynağından bağlantısını kesin, sonra tekrar takın.

Bir sonraki adım yönlendiricinizi sıfırlamaktır. Bunun nasıl yapılacağına ilişkin bilgiler kutudaki kılavuzda veya üreticinin web sitesinde bulunabilir. Yönelticinizi yeniden yüklediğinizde, ürün yazılımı sürümünün en son sürüm olduğundan emin olmanız gerekir. Yine, nasıl güncelleneceğini öğrenmek için yönlendiricinizle birlikte verilen belgelere bakın.

ÖNEMLİ. Yönetim için hiçbir zaman varsayılan kullanıcı adını ve şifreyi kullanmayın. Aynı modelin tüm yönlendiricileri bu adı ve şifreyi kullanır, bu da ayarları değiştirmeyi veya kötü amaçlı yazılımı yüklemeyi kolaylaştırır.

İnterneti asla güçlü bir güvenlik duvarı olmadan kullanmayın. Risk altındaki FTP sunucuları, NAS sunucuları, Plex sunucularıdır. Uzaktan yönetimi asla etkin bırakmayın. Genellikle ağınızdan çok uzaktaysanız, bu uygun olabilir, ancak bu, bilgisayar korsanlarının yararlanabileceği olası bir güvenlik açığıdır. Her zaman güncel olun. Bu, yeni bellenimi düzenli olarak kontrol etmeniz ve güncellemeler yayınlandıkça yeniden yüklemeniz gerektiği anlamına gelir.

Cihazım listede yoksa, yönlendirici ayarlarını sıfırlamam gerekir mi

Risk grubundaki yönlendiricilerin veritabanı günlük olarak güncellenmektedir, bu nedenle yönlendiriciyi sıfırlamak düzenli olarak yapılmalıdır. Üreticinin web sitesinde üretici yazılımı güncellemelerini kontrol etmenin yanı sıra blogunu veya sosyal ağlardaki yayınlarını takip edin.