So erkennen Sie VPNFilter-Malware, bevor sie Ihren Router zerstört

So erkennen Sie VPNFilter-Malware, bevor sie Ihren Router zerstört

Router-, Netzwerkgeräte- und Internet-of-Things-Malware wird immer häufiger. Die meisten konzentrieren sich darauf, anfällige Geräte zu infizieren und sie zu leistungsstarken Botnets hinzuzufügen. Router und Internet of Things (IoT)-Geräte sind immer eingeschaltet, immer online und warten auf Anweisungen. Perfektes Botnet-Futter also.





Aber nicht alle Malware ist gleich.



VPNFilter ist eine destruktive Malware-Bedrohung für Router, IoT-Geräte und sogar einige NAS-Geräte (Network Attached Storage). Wie überprüfen Sie, ob eine VPNFilter-Malware-Infektion vorliegt? Und wie kann man es aufräumen? Schauen wir uns VPNFilter genauer an.





Was ist VPNFilter?

VPNFilter ist eine ausgeklügelte modulare Malware-Variante, die vor allem auf Netzwerkgeräte verschiedenster Hersteller sowie NAS-Geräte abzielt. VPNFilter wurde ursprünglich auf Netzwerkgeräten von Linksys, MikroTik, NETGEAR und TP-Link sowie QNAP NAS-Geräten mit rund 500.000 Infektionen in 54 Ländern gefunden.

Die Team, das VPNFilter aufgedeckt hat , Cisco Talos, kürzlich aktualisierte Details in Bezug auf die Malware, was darauf hinweist, dass Netzwerkgeräte von Herstellern wie ASUS, D-Link, Huawei, Ubiquiti, UPVEL und ZTE jetzt VPNFilter-Infektionen aufweisen. Zum Zeitpunkt des Schreibens sind jedoch keine Cisco-Netzwerkgeräte betroffen.



Die Malware unterscheidet sich von den meisten anderen IoT-fokussierten Malwares, da sie nach einem Systemneustart bestehen bleibt und daher schwer zu beseitigen ist. Besonders anfällig sind Geräte mit ihren Standard-Anmeldedaten oder mit bekannten Zero-Day-Schwachstellen, die keine Firmware-Updates erhalten haben.

Warum verliert mein Computer ständig die Internetverbindung?

Was macht VPNFilter?

VPNFilter ist also eine „mehrstufige, modulare Plattform“, die zerstörerische Schäden an Geräten verursachen kann. Darüber hinaus kann es auch als Bedrohung für die Datensammlung dienen. VPNFilter funktioniert in mehreren Stufen.



Stufe 1: VPNFilter Stage 1 erstellt einen Brückenkopf auf dem Gerät, kontaktiert seinen Command and Control Server (C&C), um zusätzliche Module herunterzuladen und auf Anweisungen zu warten. Stufe 1 verfügt auch über mehrere eingebaute Redundanzen, um Stufe 2 C&Cs im Falle einer Infrastrukturänderung während der Bereitstellung zu lokalisieren. Die VPNFilter-Malware der Stufe 1 kann auch einen Neustart überstehen, was sie zu einer robusten Bedrohung macht.

Stufe 2: VPNFilter Stage 2 bleibt nach einem Neustart nicht bestehen, bietet jedoch eine größere Bandbreite an Funktionen. Stufe 2 kann private Daten sammeln, Befehle ausführen und die Geräteverwaltung stören. Außerdem gibt es verschiedene Versionen von Stage 2 in freier Wildbahn. Einige Versionen sind mit einem destruktiven Modul ausgestattet, das eine Partition der Gerätefirmware überschreibt und dann neu startet, um das Gerät unbrauchbar zu machen (die Malware blockiert grundsätzlich den Router, das IoT oder das NAS-Gerät).



Stufe 3: VPNFilter Stage 3-Module funktionieren wie Plugins für Stage 2 und erweitern die Funktionalität von VPNFilter. Ein Modul fungiert als Paket-Sniffer, der eingehenden Datenverkehr auf dem Gerät sammelt und Anmeldeinformationen stiehlt. Eine andere ermöglicht der Malware der Stufe 2 eine sichere Kommunikation mit Tor. Cisco Talos hat auch ein Modul gefunden, das schädliche Inhalte in den Datenverkehr einfügt, der das Gerät passiert, was bedeutet, dass der Hacker über einen Router, IoT oder NAS-Gerät weitere Exploits an andere verbundene Geräte weitergeben kann.

Darüber hinaus ermöglichen VPNFilter-Module 'den Diebstahl von Website-Anmeldeinformationen und die Überwachung von Modbus-SCADA-Protokollen'.

Foto-Sharing-Meta

Ein weiteres interessantes (aber nicht neu entdecktes) Merkmal der VPNFilter-Malware ist die Verwendung von Online-Foto-Sharing-Diensten, um die IP-Adresse ihres C&C-Servers zu finden. Die Talos-Analyse ergab, dass die Malware auf eine Reihe von Photobucket-URLs verweist. Die Malware lädt das erste Bild in der Galerie herunter, auf die die URL verweist, und extrahiert eine Server-IP-Adresse, die in den Bildmetadaten versteckt ist.

Die IP-Adresse 'wird aus sechs ganzzahligen Werten für GPS-Breite und -Länge in den EXIF-Informationen extrahiert.' Wenn dies fehlschlägt, greift die Stufe-1-Malware auf eine reguläre Domäne (toknowall.com---mehr dazu weiter unten) zurück, um das Image herunterzuladen und denselben Vorgang zu versuchen.

Gezieltes Paket-Sniffing

Der aktualisierte Talos-Bericht enthüllte einige interessante Einblicke in das Paket-Sniffing-Modul VPNFilter. Anstatt nur alles aufzusaugen, hat es ein ziemlich strenges Regelwerk, das auf bestimmte Arten von Datenverkehr abzielt. Insbesondere Datenverkehr von industriellen Steuerungssystemen (SCADA), die über TP-Link R600 VPNs verbunden sind, Verbindungen zu einer Liste vordefinierter IP-Adressen (die auf fortgeschrittene Kenntnisse anderer Netzwerke und wünschenswerten Datenverkehr hinweisen) sowie Datenpakete von 150 Byte oder größer.

Craig William, Senior Technology Leader und Global Outreach Manager bei Talos, sagte Ars , 'Sie suchen nach ganz bestimmten Dingen. Sie versuchen nicht, so viel Verkehr wie möglich zu sammeln. Sie sind auf der Suche nach bestimmten sehr kleinen Dingen wie Anmeldeinformationen und Passwörtern. Wir haben nicht viele Informationen darüber, außer dass es unglaublich zielgerichtet und unglaublich raffiniert erscheint. Wir versuchen immer noch herauszufinden, für wen sie das benutzt haben.'

Woher kommt VPNFilter?

VPNFilter gilt als das Werk einer staatlich geförderten Hackergruppe. Dass der anfängliche Anstieg der VPNFilter-Infektionen überwiegend in der gesamten Ukraine zu spüren war, deuteten erste Finger auf von Russland unterstützte Fingerabdrücke und die Hackergruppe Fancy Bear.

Die Malware ist jedoch so ausgereift, dass es keine klare Genese gibt und keine Hackergruppe, egal ob national oder anders, vorgetreten ist, um die Malware zu beanspruchen. Angesichts der detaillierten Malware-Regeln und der Ausrichtung auf SCADA und andere industrielle Systemprotokolle scheint ein nationalstaatlicher Akteur am wahrscheinlichsten.

Unabhängig davon, was ich denke, glaubt das FBI, dass VPNFilter eine Kreation von Fancy Bear ist. Im Mai 2018 hat das FBI eine Domain beschlagnahmt ---ToKnowAll.com---die vermutlich zur Installation und Steuerung von Stage 2- und Stage 3-VPNFilter-Malware verwendet wurde. Die Domänenbeschlagnahme hat sicherlich dazu beigetragen, die sofortige Verbreitung von VPNFilter zu stoppen, aber die Hauptschlagader wurde nicht durchtrennt; die ukrainische SGE hat beispielsweise im Juli 2018 einen VPNFilter-Angriff auf eine chemische Verarbeitungsanlage eingestellt.

So erstellen Sie einen bootfähigen USB-Stick von ISO

VPNFilter weist auch Ähnlichkeiten mit der BlackEnergy-Malware auf, einem APT-Trojaner, der gegen eine Vielzahl von ukrainischen Zielen eingesetzt wird. Auch wenn dies bei weitem kein vollständiger Beweis ist, stammt die systematische Angriffssteuerung auf die Ukraine hauptsächlich von Hackergruppen mit russischen Verbindungen.

Bin ich mit VPNFilter infiziert?

Die Chancen stehen gut, dass Ihr Router die VPNFilter-Malware nicht beherbergt. Aber es ist immer besser, auf Nummer sicher zu gehen:

  1. Überprüfen Sie diese Liste für Ihren Router. Wenn Sie nicht auf der Liste stehen, ist alles in Ordnung.
  2. Sie können die Symantec VPNFilter Check-Site aufrufen. Aktivieren Sie das Kontrollkästchen für die Allgemeinen Geschäftsbedingungen und klicken Sie dann auf Führen Sie die VPN-Filterprüfung durch Knopf in der Mitte. Der Test ist innerhalb von Sekunden abgeschlossen.

Ich bin mit VPNFilter infiziert: Was kann ich tun?

Wenn der Symantec VPNFilter Check bestätigt, dass Ihr Router infiziert ist, haben Sie eine klare Vorgehensweise.

  1. Setzen Sie Ihren Router zurück und führen Sie den VPNFilter Check erneut aus.
  2. Setzen Sie Ihren Router auf die Werkseinstellungen zurück.
  3. Laden Sie die neueste Firmware für Ihren Router herunter und führen Sie eine saubere Firmware-Installation durch, vorzugsweise ohne dass der Router während des Vorgangs eine Online-Verbindung herstellt.

Darüber hinaus müssen Sie auf jedem Gerät, das mit dem infizierten Router verbunden ist, vollständige Systemscans durchführen.

Sie sollten immer die Standard-Anmeldedaten Ihres Routers sowie aller IoT- oder NAS-Geräte ( IoT-Geräte machen diese Aufgabe nicht einfach ) ändern, wenn dies möglich ist. Obwohl es Beweise dafür gibt, dass VPNFilter einige Firewalls umgehen kann, eine installiert und richtig konfiguriert haben wird dazu beitragen, viele andere unangenehme Dinge aus Ihrem Netzwerk herauszuhalten.

Achten Sie auf Router-Malware!

Router-Malware wird immer häufiger. IoT-Malware und -Schwachstellen sind allgegenwärtig und werden mit der Anzahl der Geräte, die online gehen, nur noch schlimmer. Ihr Router ist die zentrale Anlaufstelle für Daten in Ihrem Zuhause. Es erhält jedoch nicht annähernd so viel Sicherheitsaufmerksamkeit wie andere Geräte.

Einfach ausgedrückt, Ihr Router ist nicht so sicher, wie Sie denken.

Teilen Teilen Tweet Email Ein Leitfaden für Anfänger zum Animieren von Sprache

Animierende Rede kann eine Herausforderung sein. Wenn Sie bereit sind, Ihrem Projekt Dialog hinzuzufügen, werden wir den Prozess für Sie aufschlüsseln.

Weiter lesen Verwandte Themen
  • Sicherheit
  • Router
  • Online-Sicherheit
  • Internet der Dinge
  • Malware
Über den Autor Gavin Phillips(945 veröffentlichte Artikel)

Gavin ist Junior Editor für Windows and Technology Explained, schreibt regelmäßig am Really Useful Podcast und ist regelmäßiger Produktrezensent. Er hat einen BA (Hons) Contemporary Writing with Digital Art Practices, der aus den Hügeln von Devon geplündert wurde, sowie über ein Jahrzehnt an professioneller Schreiberfahrung. Er genießt reichlich Tee, Brettspiele und Fußball.

So laden Sie Minecraft-Karten unter Windows 10 herunter
Mehr von Gavin Phillips

Abonniere unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um zu abonnieren