Cara Mengidentifikasi dan Memperbaiki Malware VPNFilter Sekarang (05.01.24)

Tidak semua malware diciptakan sama. Salah satu buktinya adalah keberadaan VPNFilter malware, generasi baru malware router yang memiliki sifat merusak. Salah satu ciri khasnya adalah dapat bertahan dari reboot, tidak seperti kebanyakan ancaman Internet of Things (IoT) lainnya.

Biarkan artikel ini memandu Anda dalam mengidentifikasi malware VPNFilter serta daftar targetnya. Kami juga akan mengajari Anda cara mencegahnya agar tidak merusak sistem Anda sejak awal.

Apa Itu Malware VPNFilter?

Anggap VPNFilter sebagai malware destruktif yang mengancam router, perangkat IoT, dan bahkan yang terhubung ke jaringan perangkat penyimpanan (NAS). Ini dianggap sebagai varian malware modular canggih yang terutama menargetkan perangkat jaringan dari berbagai produsen.

Awalnya, malware terdeteksi di perangkat jaringan Linksys, NETGEAR, MikroTik, dan TP-Link. Itu juga ditemukan di perangkat QNAP NAS. Hingga saat ini, ada sekitar 500.000 infeksi di 54 negara, menunjukkan jangkauan dan kehadirannya yang sangat besar.

Cisco Talos, tim yang mengekspos VPNFilter, memberikan posting blog ekstensif tentang malware dan detail teknis di sekitarnya. Dari kelihatannya, peralatan jaringan dari ASUS, D-Link, Huawei, UPVEL, Ubiqiuiti, dan ZTE memiliki tanda-tanda infeksi.

Tidak seperti kebanyakan malware bertarget IoT lainnya, VPNFilter sulit dihilangkan karena tetap ada bahkan setelah sistem di-boot ulang. Terbukti rentan terhadap serangannya adalah perangkat yang menggunakan kredensial login defaultnya, atau perangkat yang diketahui memiliki kerentanan zero-day yang belum memiliki pembaruan firmware.

Perangkat yang Diketahui Terkena Dampak Malware VPNFilter

Perute perusahaan dan kantor kecil atau kantor rumahan diketahui menjadi target malware ini. Perhatikan merek dan model router berikut:

  • Asus RT-AC66U
  • Asus RT-N10
  • Asus RT-N10E
  • Asus RT-N10U
  • Asus RT-N56U
  • Asus RT-N66U
  • D-Link DES-1210-08P
  • D-Link DIR-300
  • D-Link DIR-300A
  • D-Link DSR-250N
  • D-Link DSR-500N
  • D-Link DSR-1000
  • D-Link DSR-1000N
  • Linksys E1200
  • Linksys E2500
  • Linksys E3000
  • Linksys E3200
  • Linksys E4200
  • Linksys RV082
  • Huawei HG8245
  • Linksys WRVS4400N
  • Netgear DG834
  • Netgear DGN1000
  • Netgear DGN2200
  • Netgear DGN3500
  • Netgear FVS318N
  • Netgear MBRN3000
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • Netgear WNR2200
  • Netgear WNR4000
  • Netgear WNDR3700
  • Netgear WNDR4000
  • Netgear WNDR4300
  • Netgear WNDR4300-TN
  • Netgear UTM50
  • MikroTik CCR1009
  • MikroTik CCR1016
  • MikroTik CCR1036
  • MikroTik CCR1072
  • MikroTik CRS109
  • MikroTik CRS112
  • MikroTik CRS125
  • MikroTik RB411
  • MikroTik RB450
  • MikroTik RB750
  • MikroTik RB911
  • MikroTik RB921
  • MikroTik RB941
  • MikroTik RB941
  • MikroTik RB951
  • MikroTik RB952
  • MikroTik RB960
  • MikroTik RB962
  • MikroTik RB1100
  • MikroTik RB1200
  • MikroTik RB2011
  • MikroTik RB3011
  • Alur MikroTik RB
  • MikroTik RB Omnitik
  • MikroTik STX5
  • TP-Link R600VPN
  • TP-Link TL-WR741ND
  • TP-Link TL-WR841N
  • Ubiquiti NSM2
  • Ubiquiti PBE M5
  • Perangkat Tingkat Tinggi -model tidak dikenal
  • Perangkat ZTE ZXHN H108N
  • QNAP TS251
  • QNAP TS439 Pro
  • QNAP lainnya Perangkat NAS yang menjalankan perangkat lunak QTS

Denominator umum di antara sebagian besar perangkat yang ditargetkan adalah penggunaan kredensial default. Mereka juga telah mengetahui eksploitasi, terutama untuk versi yang lebih lama.

Apa yang Dilakukan Malware VPNFilter pada Perangkat yang Terinfeksi?

VPNFilter berfungsi untuk menyebabkan kerusakan yang melemahkan pada perangkat yang terpengaruh serta berfungsi sebagai metode pengumpulan data. Ini bekerja dalam tiga tahap:

Tahap 1

Ini menandai penginstalan dan mempertahankan kehadiran yang terus-menerus pada perangkat target. Malware akan menghubungi server command and control (C&C) untuk mengunduh modul tambahan dan menunggu instruksi. Pada fase ini, ada beberapa redundansi bawaan untuk menemukan K&C Tahap 2 jika terjadi perubahan infrastruktur saat ancaman disebarkan. VPNFilter Tahap 1 dapat menahan boot ulang.

Tahap 2

Ini menampilkan muatan utama. Meskipun tidak dapat bertahan melalui reboot, ia memiliki lebih banyak kemampuan. Ia mampu mengumpulkan file, menjalankan perintah, dan melakukan eksfiltrasi data dan manajemen perangkat. Melanjutkan efek destruktifnya, malware dapat "membata" perangkat setelah menerima perintah dari penyerang. Ini dijalankan melalui penimpaan bagian dari firmware perangkat dan booting ulang berikutnya. Tindakan kriminal membuat perangkat tidak dapat digunakan.

Tahap 3

Beberapa modul yang diketahui ada dan bertindak sebagai plugin untuk Tahap 2. Ini terdiri dari packet sniffer untuk memata-matai lalu lintas yang diarahkan melalui perangkat, memungkinkan pencurian kredensial situs web dan pelacakan protokol Modbus SCADA. Modul lain memungkinkan Tahap 2 berkomunikasi dengan aman melalui Tor. Berdasarkan penyelidikan Cisco Talos, satu modul menyediakan konten berbahaya ke lalu lintas yang melewati perangkat. Dengan cara ini, penyerang dapat lebih memengaruhi perangkat yang terhubung.

Pada tanggal 6 Juni, dua modul Tahap 3 lainnya diekspos. Yang pertama disebut "ssler," dan dapat mencegat semua lalu lintas yang melewati perangkat menggunakan port 80. Ini memungkinkan penyerang untuk melihat lalu lintas web dan mencegatnya untuk mengeksekusi serangan man in the middle. Itu dapat, misalnya, mengubah permintaan HTTPS menjadi permintaan HTTP, mengirim data yang seharusnya dienkripsi secara tidak aman. Yang kedua dijuluki "dstr," yang menggabungkan perintah kill ke modul Tahap 2 apa pun yang tidak memiliki fitur ini. Setelah dijalankan, ini akan menghilangkan semua jejak malware sebelum merusak perangkat.

Berikut adalah tujuh modul Tahap 3 lainnya yang terungkap pada 26 September:
  • htpx – Berfungsi sama seperti ssler, mengarahkan dan memeriksa semua lalu lintas HTTP melalui perangkat yang terinfeksi untuk mengidentifikasi dan mencatat semua executable Windows. Itu dapat membuat Trojan-ize executable saat melewati router yang terinfeksi, yang memungkinkan penyerang menginstal malware di berbagai mesin yang terhubung ke jaringan yang sama.
  • ndbr – Ini dianggap sebagai alat SSH multi-fungsi.
  • nm – Modul ini adalah senjata pemetaan jaringan untuk memindai subnet lokal .
  • netfilter – Utilitas penolakan layanan ini dapat memblokir akses ke beberapa aplikasi terenkripsi.
  • portforwarding – Ini meneruskan lalu lintas jaringan ke infrastruktur yang ditentukan oleh penyerang.
  • socks5proxy – Ini memungkinkan proxy SOCKS5 dibuat pada perangkat yang rentan.
Asal dari VPNFilter Terungkap

Ini malware kemungkinan merupakan karya entitas peretasan yang disponsori negara. Infeksi awal terutama dirasakan di Ukraina, dengan mudah menghubungkan tindakan tersebut dengan kelompok peretasan Fancy Bear dan kelompok yang didukung Rusia.

Namun, ini menggambarkan sifat canggih dari VPNFilter. Itu tidak dapat dikaitkan dengan asal yang jelas dan kelompok peretasan tertentu, dan seseorang belum melangkah maju untuk mengklaim tanggung jawab untuk itu. Sponsor negara-bangsa sedang berspekulasi karena SCADA bersama protokol sistem industri lainnya memiliki aturan dan penargetan malware yang komprehensif.

Namun, jika Anda bertanya kepada FBI, VPNFilter adalah gagasan dari Fancy Bear. Kembali pada Mei 2018, agensi menyita domain ToKnowAll.com, yang dianggap berperan penting dalam menginstal dan memerintahkan Tahap 2 dan 3 VPNFilter. Penyitaan membantu menghentikan penyebaran malware, tetapi gagal mengatasi img utama.

Dalam pengumumannya pada 25 Mei, FBI mengeluarkan permintaan mendesak bagi pengguna untuk me-reboot router Wi-Fi mereka di rumah untuk menghentikan serangan malware besar berbasis asing. Pada saat itu, agensi tersebut menunjuk penjahat dunia maya asing karena membahayakan kantor kecil dan router Wi-Fi rumah – bersama dengan perangkat jaringan lain – sebanyak seratus ribu.

Saya Hanya Pengguna Biasa – Apa Arti Serangan VPNFilter Saya?

Kabar baiknya adalah router Anda tidak mungkin menyembunyikan malware yang mengganggu jika Anda memeriksa daftar router VPNFilter yang kami sediakan di atas. Tapi itu selalu yang terbaik berbuat salah di sisi hati-hati. Symantec, misalnya, menjalankan Pemeriksaan VPNFilter sehingga Anda dapat menguji apakah Anda terpengaruh atau tidak. Hanya perlu beberapa detik untuk menjalankan pemeriksaan.

Sekarang, inilah masalahnya. Bagaimana jika Anda benar-benar terinfeksi? Jelajahi langkah-langkah ini:
  • Setel ulang router Anda. Selanjutnya, jalankan Pemeriksaan VPNFilter sekali lagi.
  • Setel ulang router Anda ke setelan pabrik.
  • Pertimbangkan untuk menonaktifkan setelan pengelolaan jarak jauh di perangkat Anda.
  • Unduh firmware terbaru untuk router Anda. Selesaikan penginstalan firmware yang bersih, idealnya tanpa router membuat koneksi online saat proses sedang berlangsung.
  • Selesaikan pemindaian sistem lengkap pada komputer atau perangkat Anda yang telah terhubung ke router yang terinfeksi. Jangan lupa untuk menggunakan alat pengoptimal PC yang andal untuk bekerja bersama dengan pemindai malware tepercaya Anda.
  • Amankan koneksi Anda. Lindungi diri Anda dengan VPN berbayar berkualitas tinggi dengan rekam jejak privasi dan keamanan online terbaik.
  • Biasakan mengubah kredensial login default router Anda, serta perangkat IoT atau NAS lainnya .
  • Pastikan firewall terpasang dan dikonfigurasi dengan benar untuk mencegah hal-hal buruk keluar dari jaringan Anda.
  • Amankan perangkat Anda dengan sandi yang kuat dan unik.
  • Aktifkan enkripsi .

Jika router Anda berpotensi terpengaruh, sebaiknya periksa situs web produsen untuk mengetahui informasi baru dan langkah-langkah yang harus diambil untuk melindungi perangkat Anda. Ini adalah langkah yang harus segera diambil, karena semua informasi Anda melewati router Anda. Saat router disusupi, privasi dan keamanan perangkat Anda dipertaruhkan.

Ringkasan

Malware VPNFilter mungkin juga menjadi salah satu ancaman terkuat dan paling tidak bisa dihancurkan untuk menyerang router perusahaan dan kantor kecil atau rumah baru-baru ini sejarah. Awalnya terdeteksi pada perangkat jaringan Linksys, NETGEAR, MikroTik, dan TP-Link serta perangkat QNAP NAS. Anda dapat menemukan daftar router yang terpengaruh di atas.

VPNFilter tidak dapat diabaikan setelah memulai sekitar 500.000 infeksi di 54 negara. Ia bekerja dalam tiga tahap dan membuat router tidak dapat dioperasikan, mengumpulkan informasi yang melewati router, dan bahkan memblokir lalu lintas jaringan. Mendeteksi serta menganalisis aktivitas jaringannya tetap merupakan tugas yang sulit.

Dalam artikel ini, kami menguraikan cara untuk membantu melindungi diri Anda dari malware dan langkah-langkah yang dapat Anda ambil jika router Anda telah disusupi. Konsekuensinya mengerikan, jadi Anda tidak boleh duduk di tugas penting untuk memeriksa perangkat Anda.

Video Youtube: Cara Mengidentifikasi dan Memperbaiki Malware VPNFilter Sekarang

05, 2024