라우터를 파괴하기 전에 VPNFilter 멀웨어를 찾는 방법

라우터를 파괴하기 전에 VPNFilter 멀웨어를 찾는 방법

라우터, 네트워크 장치 및 사물 인터넷 맬웨어가 점점 더 보편화되고 있습니다. 대부분 취약한 장치를 감염시키고 강력한 봇넷에 추가하는 데 중점을 둡니다. 라우터와 사물 인터넷(IoT) 장치는 항상 전원이 켜져 있고 항상 온라인 상태이며 지침을 기다리고 있습니다. 그렇다면 완벽한 봇넷 사료입니다.





하지만 모든 악성코드가 같은 것은 아닙니다.



VPNFilter는 라우터, IoT 장치 및 일부 NAS(Network-Attached Storage) 장치에 대한 파괴적인 맬웨어 위협입니다. VPNFilter 맬웨어 감염을 어떻게 확인합니까? 그리고 어떻게 청소할 수 있습니까? VPNFilter에 대해 자세히 살펴보겠습니다.





VPNFilter란 무엇입니까?

VPNFilter는 NAS 장치뿐만 아니라 다양한 제조업체의 네트워킹 장치를 주로 대상으로 하는 정교한 모듈식 멀웨어 변종입니다. VPNFilter는 처음에 Linksys, MikroTik, NETGEAR 및 TP-Link 네트워크 장치와 QNAP NAS 장치에서 발견되었으며 54개국에서 약 500,000건이 감염되었습니다.

NS VPNFilter를 발견한 팀 , 시스코 탈로스, 최근 업데이트된 세부정보 맬웨어와 관련하여 ASUS, D-Link, Huawei, Ubiquiti, UPVEL 및 ZTE와 같은 제조업체의 네트워킹 장비가 현재 VPNFilter 감염을 표시하고 있음을 나타냅니다. 그러나 작성 당시 Cisco 네트워크 장치는 영향을 받지 않습니다.



이 악성코드는 시스템 재부팅 후에도 지속되어 근절하기 어렵기 때문에 대부분의 IoT 중심 악성코드와 다릅니다. 기본 로그인 자격 증명을 사용하거나 펌웨어 업데이트를 수신하지 않은 알려진 제로 데이 취약점이 있는 장치는 특히 취약합니다.

전자 제품을 위한 저렴한 온라인 쇼핑 사이트

VPNFilter는 무엇을 합니까?

따라서 VPNFilter는 장치에 파괴적인 손상을 줄 수 있는 '다단계, 모듈식 플랫폼'입니다. 또한 데이터 수집 위협으로 작용할 수도 있습니다. VPNFilter는 여러 단계에서 작동합니다.



스테이지 1: VPNFilter 1단계는 장치에 교두보를 설정하고 명령 및 제어 서버(C&C)에 연결하여 추가 모듈을 다운로드하고 지침을 기다립니다. 또한 1단계에는 배포 중 인프라가 변경되는 경우 2단계 C&C를 찾을 수 있는 다중 내장 중복 기능이 있습니다. 1단계 VPNFilter 멀웨어는 재부팅 후에도 살아남을 수 있어 강력한 위협이 됩니다.

2단계: VPNFilter Stage 2는 재부팅 후에도 지속되지 않지만 더 넓은 범위의 기능이 제공됩니다. 2단계에서는 개인 데이터를 수집하고 명령을 실행하며 장치 관리를 방해할 수 있습니다. 또한 야생에는 다양한 버전의 스테이지 2가 있습니다. 일부 버전에는 장치 펌웨어의 파티션을 덮어쓴 다음 재부팅하여 장치를 사용할 수 없게 만드는 파괴적인 모듈이 장착되어 있습니다(맬웨어는 기본적으로 라우터, IoT 또는 NAS 장치를 차단함).



3단계: VPNFilter 3단계 모듈은 2단계 플러그인처럼 작동하여 VPNFilter의 기능을 확장합니다. 한 모듈은 장치에서 들어오는 트래픽을 수집하고 자격 증명을 훔치는 패킷 스니퍼 역할을 합니다. 다른 하나는 Stage 2 멀웨어가 Tor를 사용하여 안전하게 통신할 수 있도록 합니다. Cisco Talos는 또한 장치를 통과하는 트래픽에 악성 콘텐츠를 주입하는 모듈 하나를 발견했습니다. 이는 해커가 라우터, IoT 또는 NAS 장치를 통해 연결된 다른 장치에 추가 익스플로잇을 전달할 수 있음을 의미합니다.

또한 VPNFilter 모듈은 '웹사이트 자격 증명 도용 및 Modbus SCADA 프로토콜 모니터링을 허용합니다.'

사진 공유 메타

VPNFilter 악성코드의 또 다른 흥미로운(새로 발견되지 않은) 기능은 온라인 사진 공유 서비스를 사용하여 C&C 서버의 IP 주소를 찾는 것입니다. Talos 분석은 멀웨어가 일련의 Photobucket URL을 가리키는 것으로 나타났습니다. 악성코드는 URL 참조 갤러리의 첫 번째 이미지를 다운로드하고 이미지 메타데이터에 숨겨진 서버 IP 주소를 추출합니다.

IP 주소는 'EXIF 정보의 GPS 위도 경도 6가지 정수 값에서 추출'됩니다. 실패하면 1단계 멀웨어가 일반 도메인(toknowall.com---자세한 내용은 아래 참조)으로 폴백하여 이미지를 다운로드하고 동일한 프로세스를 시도합니다.

표적 패킷 스니핑

업데이트된 Talos 보고서는 VPNFilter 패킷 스니핑 모듈에 대한 몇 가지 흥미로운 통찰력을 보여주었습니다. 그냥 모든 것을 후버링하는 대신 특정 유형의 트래픽을 대상으로 하는 상당히 엄격한 규칙 집합이 있습니다. 특히, TP-Link R600 VPN을 사용하여 연결하는 SCADA(산업 제어 시스템)의 트래픽, 미리 정의된 IP 주소 목록에 대한 연결(다른 네트워크 및 바람직한 트래픽에 대한 고급 지식 표시) 및 150바이트의 데이터 패킷 또는 더 큰.

Talos의 수석 기술 리더이자 글로벌 아웃리치 매니저인 Craig William은 다음과 같이 말했습니다. 아르스에게 말했다 , '매우 구체적인 것을 찾고 있습니다. 그들은 가능한 한 많은 트래픽을 수집하려고 하지 않습니다. 그들은 자격 증명 및 암호와 같은 아주 작은 것을 쫓습니다. 믿을 수 없을 정도로 표적이 되고 믿을 수 없을 정도로 정교해 보인다는 것 외에는 그것에 대한 정보가 많지 않습니다. 우리는 여전히 그들이 누구에게 그것을 사용했는지 알아 내려고 노력하고 있습니다.'

VPNFilter는 어디에서 왔습니까?

VPNFilter는 국가가 후원하는 해킹 그룹의 작업으로 생각됩니다. 초기 VPNFilter 감염 급증은 주로 우크라이나 전역에서 느껴졌으며 초기 손가락은 러시아 지원 지문과 해킹 그룹 Fancy Bear를 가리켰습니다.

그러나 멀웨어의 정교함은 명확한 기원이 없으며 해킹 그룹, 국가 또는 기타 다른 곳에서 멀웨어를 주장하기 위해 나섰습니다. SCADA 및 기타 산업 시스템 프로토콜의 세부적인 맬웨어 규칙과 대상을 고려할 때 국가 행위자가 가장 가능성이 높아 보입니다.

내 생각에 상관없이 FBI는 VPNFilter가 팬시 베어가 만든 것이라고 생각합니다. 2018년 5월 FBI는 도메인을 탈취 ---ToKnowAll.com---2단계 및 3단계 VPNFilter 악성코드를 설치하고 명령하는 데 사용된 것으로 생각됩니다. 도메인 압수는 VPNFilter의 즉각적인 확산을 막는 데 확실히 도움이 되었지만 주요 동맥을 절단하지는 않았습니다. 우크라이나 SBU는 2018년 7월 화학 처리 공장에 대한 VPNFilter 공격을 중단했습니다.

sim 프로비저닝되지 않음 mm 2 스트레이트 토크

VPNFilter는 또한 광범위한 우크라이나 대상에 대해 사용되는 APT 트로이 목마인 BlackEnergy 악성코드와 유사합니다. 다시 말하지만 이것이 완전한 증거는 아니지만 우크라이나에 대한 체계적인 표적화는 주로 러시아와 연계된 해킹 그룹에서 비롯됩니다.

VPNFilter에 감염되었습니까?

라우터에 VPNFilter 멀웨어가 없을 가능성이 있습니다. 하지만 미안한 것보다 안전한 것이 항상 더 좋습니다.

  1. 이 목록을 확인하십시오 당신의 라우터를 위해. 목록에 없으면 모든 것이 정상입니다.
  2. Symantec VPNFilter Check 사이트로 이동할 수 있습니다. 이용약관 체크한 후 VPNFilter 확인 실행 가운데 버튼. 테스트는 몇 초 안에 완료됩니다.

VPNFilter에 감염되었습니다: 어떻게 해야 하나요?

Symantec VPNFilter Check에서 라우터가 감염되었음을 확인하면 명확한 조치를 취한 것입니다.

  1. 라우터를 재설정한 다음 VPNFilter 확인을 다시 실행하십시오.
  2. 라우터를 공장 설정으로 재설정합니다.
  3. 라우터의 최신 펌웨어를 다운로드하고 클린 펌웨어 설치를 완료하십시오. 가급적이면 라우터가 프로세스 중에 온라인 연결을 설정하지 않는 것이 좋습니다.

또한 감염된 라우터에 연결된 각 장치에서 전체 시스템 검사를 완료해야 합니다.

가능하면 라우터의 기본 로그인 자격 증명과 IoT 또는 NAS 장치(IoT 장치는 이 작업을 쉽게 수행할 수 없음)를 항상 변경해야 합니다. 또한 VPNFilter가 일부 방화벽을 우회할 수 있다는 증거가 있지만 하나를 설치하고 적절하게 구성한 경우 네트워크에서 다른 많은 불쾌한 것들을 유지하는 데 도움이 될 것입니다.

라우터 악성코드를 조심하세요!

라우터 맬웨어가 점점 더 일반적입니다. IoT 맬웨어와 취약점은 도처에 있으며 온라인에 연결되는 장치의 수는 더욱 악화될 것입니다. 라우터는 가정 내 데이터의 초점입니다. 그러나 다른 장치만큼 많은 보안 관심을 받지는 못합니다.

간단히 말해서 라우터는 생각만큼 안전하지 않습니다.

공유하다 공유하다 트위터 이메일 음성 애니메이션에 대한 초보자 가이드

연설에 애니메이션을 적용하는 것은 어려울 수 있습니다. 프로젝트에 대화를 추가할 준비가 되었으면 프로세스를 분석해 드리겠습니다.

다음 읽기 관련 항목
  • 보안
  • 라우터
  • 온라인 보안
  • 사물 인터넷
  • 멀웨어
저자 소개 개빈 필립스(945건의 기사 게재)

Gavin은 Windows 및 Technology Explained의 주니어 편집자이며, really Useful Podcast의 정기 기고자이자 정기 제품 검토자입니다. 그는 Devon의 언덕에서 약탈한 디지털 아트 프랙티스로 학사(우등) 현대 작문과 10년 이상의 전문 작문 경험을 보유하고 있습니다. 그는 많은 양의 차, 보드 게임, 축구를 즐깁니다.

내 xbox가 저절로 켜집니다
개빈 필립스가 참여한 작품 더보기

뉴스레터 구독

기술 팁, 리뷰, 무료 전자책 및 독점 거래에 대한 뉴스레터에 가입하십시오!

구독하려면 여기를 클릭하세요.