كيفية اكتشاف برامج VPNFilter الضارة قبل أن تدمر جهاز التوجيه الخاص بك

كيفية اكتشاف برامج VPNFilter الضارة قبل أن تدمر جهاز التوجيه الخاص بك

تنتشر البرامج الضارة لجهاز التوجيه وجهاز الشبكة وإنترنت الأشياء بشكل متزايد. يركز معظمهم على إصابة الأجهزة المعرضة للخطر وإضافتها إلى شبكات الروبوت القوية. يتم دائمًا تشغيل أجهزة التوجيه وإنترنت الأشياء (IoT) ، ودائمًا ما تكون متصلة بالإنترنت ، وتنتظر التعليمات. إذن ، علف بوتنت مثالي.





لكن ليست كل البرامج الضارة هي نفسها.



يعد VPNFilter تهديدًا ضارًا مدمرًا لأجهزة التوجيه وأجهزة إنترنت الأشياء وحتى بعض أجهزة التخزين المتصلة بالشبكة (NAS). كيف تتحقق من الإصابة بالبرامج الضارة VPNFilter؟ وكيف يمكنك تنظيفه؟ دعنا نلقي نظرة فاحصة على VPNFilter.





ما هو برنامج VPNFilter؟

VPNFilter هو نوع من البرامج الضارة المعيارية المعقدة التي تستهدف بشكل أساسي أجهزة الشبكات من مجموعة واسعة من الشركات المصنعة ، بالإضافة إلى أجهزة NAS. تم العثور على VPNFilter في البداية على أجهزة شبكات Linksys و MikroTik و NETGEAR و TP-Link ، بالإضافة إلى أجهزة QNAP NAS ، مع حوالي 500000 إصابة في 54 دولة.

ال الفريق الذي كشف VPNFilter سيسكو تالوس التفاصيل المحدثة مؤخرًا فيما يتعلق بالبرامج الضارة ، مما يشير إلى أن معدات الشبكات من الشركات المصنعة مثل ASUS و D-Link و Huawei و Ubiquiti و UPVEL و ZTE تعرض الآن عدوى VPNFilter. ومع ذلك ، في وقت كتابة هذا التقرير ، لم تتأثر أي أجهزة شبكة Cisco.



تختلف البرامج الضارة عن معظم البرامج الضارة الأخرى التي تركز على إنترنت الأشياء لأنها تستمر بعد إعادة تشغيل النظام ، مما يجعل من الصعب القضاء عليها. تعتبر الأجهزة التي تستخدم بيانات اعتماد تسجيل الدخول الافتراضية الخاصة بها أو مع وجود ثغرات أمنية معروفة ولم تتلق تحديثات البرامج الثابتة عرضة للخطر بشكل خاص.

كيفية استرداد أموال الألعاب على PS4

ماذا يفعل VPNFilter؟

لذا ، فإن VPNFilter عبارة عن 'منصة معيارية متعددة المراحل' يمكن أن تسبب أضرارًا مدمرة للأجهزة. علاوة على ذلك ، يمكن أن يكون أيضًا بمثابة تهديد لجمع البيانات. يعمل VPNFilter على عدة مراحل.



المرحلة 1: تُنشئ VPNFilter Stage 1 رأس جسر على الجهاز ، وتتصل بخادم القيادة والتحكم (C&C) لتنزيل وحدات إضافية وانتظار التعليمات. تحتوي المرحلة 1 أيضًا على العديد من التكرار الداخلي لتحديد موقع المرحلة 2 C و C في حالة تغيير البنية التحتية أثناء النشر. البرنامج الضار المرحلة الأولى VPNFilter قادر أيضًا على البقاء على قيد الحياة عند إعادة التشغيل ، مما يجعله تهديدًا قويًا.

المرحلة الثانية: لا يستمر برنامج VPNFilter Stage 2 خلال إعادة التشغيل ، ولكنه يأتي مع مجموعة واسعة من القدرات. يمكن للمرحلة الثانية جمع البيانات الخاصة وتنفيذ الأوامر والتدخل في إدارة الجهاز. أيضًا ، هناك إصدارات مختلفة من المرحلة 2 في البرية. تم تجهيز بعض الإصدارات بوحدة مدمرة تقوم بالكتابة فوق قسم من البرنامج الثابت للجهاز ، ثم تعيد التمهيد لجعل الجهاز غير قابل للاستخدام (تعمل البرامج الضارة على جهاز التوجيه أو IoT أو جهاز NAS بشكل أساسي).



المرحلة 3: تعمل وحدات VPNFilter Stage 3 مثل المكونات الإضافية للمرحلة 2 ، مما يوسع وظائف VPNFilter. تعمل إحدى الوحدات النمطية كبرنامج شم للحزم يجمع حركة المرور الواردة على الجهاز ويسرق بيانات الاعتماد. آخر يسمح للبرامج الضارة من المرحلة 2 بالاتصال بأمان باستخدام Tor. وجدت Cisco Talos أيضًا وحدة واحدة تقوم بحقن محتوى ضار في حركة المرور التي تمر عبر الجهاز ، مما يعني أن المتسلل يمكنه تقديم المزيد من عمليات الاستغلال للأجهزة المتصلة الأخرى من خلال جهاز توجيه أو IoT أو جهاز NAS.

بالإضافة إلى ذلك ، تسمح وحدات VPNFilter 'بسرقة بيانات اعتماد موقع الويب ومراقبة بروتوكولات Modbus SCADA.'

صور تقاسم ميتا

ميزة أخرى مثيرة للاهتمام (ولكن لم يتم اكتشافها حديثًا) لبرنامج VPNFilter الضارة هي استخدامه لخدمات مشاركة الصور عبر الإنترنت للعثور على عنوان IP لخادم C&C الخاص به. وجد تحليل Talos أن البرامج الضارة تشير إلى سلسلة من عناوين URL الخاصة بـ Photobucket. تقوم البرامج الضارة بتنزيل الصورة الأولى في المعرض التي يشير إليها عنوان URL وتستخرج عنوان IP للخادم مخفيًا داخل البيانات الوصفية للصورة.

عنوان IP 'مستخرج من ستة قيم صحيحة لخط عرض GPS وخط الطول في معلومات EXIF.' إذا فشل ذلك ، فإن البرامج الضارة في المرحلة الأولى تعود إلى مجال عادي (toknowall.com --- المزيد حول هذا أدناه) لتنزيل الصورة ومحاولة نفس العملية.

شم الحزم المستهدفة

كشف تقرير Talos المحدث عن بعض الأفكار المثيرة للاهتمام حول وحدة استنشاق حزمة VPNFilter. بدلاً من مجرد تحريك كل شيء ، فإنه يحتوي على مجموعة صارمة من القواعد التي تستهدف أنواعًا معينة من حركة المرور. على وجه التحديد ، حركة المرور من أنظمة التحكم الصناعية (SCADA) التي تتصل باستخدام شبكات VPN من TP-Link R600 ، والاتصالات بقائمة عناوين IP المحددة مسبقًا (تشير إلى معرفة متقدمة بالشبكات الأخرى وحركة المرور المرغوبة) ، بالإضافة إلى حزم البيانات التي يبلغ حجمها 150 بايت أو أكبر.

كريج ويليام ، كبير قادة التكنولوجيا ومدير التواصل العالمي في Talos ، قال لآرس ، 'إنهم يبحثون عن أشياء محددة جدًا. إنهم لا يحاولون جمع أكبر قدر ممكن من حركة المرور. إنهم يبحثون عن أشياء صغيرة جدًا مثل بيانات الاعتماد وكلمات المرور. ليس لدينا الكثير من المعلومات عن ذلك بخلاف أنه يبدو مستهدفًا بشكل لا يصدق ومعقدًا بشكل لا يصدق. ما زلنا نحاول معرفة من كانوا يستخدمون ذلك.

من أين أتى VPNFilter؟

يُعتقد أن برنامج VPNFilter هو عمل مجموعة قرصنة ترعاها الدولة. أن الزيادة الأولية في عدوى VPNFilter كانت محسوسة في الغالب في جميع أنحاء أوكرانيا ، أشارت الأصابع الأولية إلى بصمات أصابع مدعومة من روسيا ومجموعة القرصنة ، Fancy Bear.

ومع ذلك ، هذا هو تطور البرمجيات الخبيثة حيث لا يوجد نشأة واضحة ولا مجموعة قرصنة أو دولة قومية أو غير ذلك ، قد تقدمت للمطالبة بالبرامج الضارة. نظرًا لقواعد البرامج الضارة التفصيلية واستهداف SCADA وبروتوكولات النظام الصناعي الأخرى ، يبدو أن ممثل الدولة القومية هو الأكثر احتمالًا.

بغض النظر عما أعتقده ، يعتقد مكتب التحقيقات الفيدرالي أن VPNFilter هو من ابتكار Fancy Bear. في مايو 2018 ، مكتب التحقيقات الفدرالي استولى على المجال --- ToKnowAll.com --- التي كان يعتقد أنها استخدمت لتثبيت وأمر المرحلة الثانية والثالثة من البرنامج الضار VPNFilter. من المؤكد أن مصادرة المجال ساعدت في وقف الانتشار الفوري لـ VPNFilter ، لكنها لم تقطع الشريان الرئيسي ؛ تخلصت وحدة إدارة الأعمال الأوكرانية من هجوم VPNFilter على مصنع معالجة كيميائية في يوليو 2018 ، لأحد.

كيف يمكنني مسح ذاكرة التخزين المؤقت على جهاز android

يحمل VPNFilter أيضًا أوجه تشابه مع برنامج BlackEnergy الضار ، وهو APT Trojan قيد الاستخدام ضد مجموعة واسعة من الأهداف الأوكرانية. مرة أخرى ، في حين أن هذا أبعد ما يكون عن الدليل الكامل ، فإن الاستهداف المنهجي لأوكرانيا ينبع في الغالب من مجموعات قرصنة لها علاقات روسية.

هل أنا مصاب ببرنامج VPNFilter؟

من المحتمل أن جهاز التوجيه الخاص بك لا يحتوي على برنامج VPNFilter الضار. لكن من الأفضل دائمًا أن تكون آمنًا من أن تكون آسف:

  1. تحقق من هذه القائمة لجهاز التوجيه الخاص بك. إذا لم تكن مدرجًا في القائمة ، فكل شيء على ما يرام.
  2. يمكنك التوجه إلى موقع Symantec VPNFilter Check. حدد مربع الشروط والأحكام ، ثم اضغط على قم بتشغيل فحص VPNFilter زر في المنتصف. يكتمل الاختبار في غضون ثوانٍ.

أنا مصاب ببرنامج VPNFilter: ماذا أفعل؟

إذا أكد Symantec VPNFilter Check أن جهاز التوجيه الخاص بك مصاب ، فلديك مسار عمل واضح.

  1. أعد تعيين جهاز التوجيه الخاص بك ، ثم قم بتشغيل VPNFilter Check مرة أخرى.
  2. أعد ضبط جهاز التوجيه على إعدادات المصنع.
  3. قم بتنزيل أحدث البرامج الثابتة لجهاز التوجيه الخاص بك ، وأكمل تثبيت برنامج ثابت نظيف ، ويفضل أن يكون ذلك دون قيام جهاز التوجيه بإجراء اتصال عبر الإنترنت أثناء العملية.

علاوة على ذلك ، تحتاج إلى إكمال عمليات فحص النظام بالكامل على كل جهاز متصل بجهاز التوجيه المصاب.

يجب عليك دائمًا تغيير بيانات اعتماد تسجيل الدخول الافتراضية لجهاز التوجيه الخاص بك ، وكذلك أي أجهزة IoT أو NAS (أجهزة IoT لا تجعل هذه المهمة سهلة) إذا كان ذلك ممكنًا على الإطلاق. أيضًا ، في حين أن هناك أدلة على أن VPNFilter يمكنه التهرب من بعض جدران الحماية ، وجود واحدة مثبتة ومهيأة بشكل صحيح سيساعد في إبعاد الكثير من الأشياء السيئة عن شبكتك.

احترس من البرامج الضارة لجهاز التوجيه!

تنتشر البرامج الضارة لجهاز التوجيه بشكل متزايد. تنتشر البرامج الضارة ونقاط الضعف الخاصة بإنترنت الأشياء في كل مكان ، ومع زيادة عدد الأجهزة التي يتم الاتصال بالإنترنت ، سيزداد الأمر سوءًا. جهاز التوجيه الخاص بك هو النقطة المحورية للبيانات في منزلك. ومع ذلك ، فهو لا يتلقى قدرًا كبيرًا من الاهتمام الأمني ​​مثل الأجهزة الأخرى.

ببساطة ، جهاز التوجيه الخاص بك ليس آمنًا كما تعتقد.

يشارك يشارك سقسقة بريد الالكتروني دليل المبتدئين لتحريك الكلام

يمكن أن يمثل تنشيط الكلام تحديًا. إذا كنت مستعدًا لبدء إضافة حوار إلى مشروعك ، فسنقوم بتفصيل العملية نيابةً عنك.

اقرأ التالي مواضيع ذات صلة
  • حماية
  • جهاز التوجيه
  • الأمن على الإنترنت
  • انترنت الأشياء
  • البرمجيات الخبيثة
نبذة عن الكاتب جافين فيليبس(تم نشر 945 مقالة)

Gavin هو محرر جونيور لـ Windows و Technology Explained ، وهو مساهم منتظم في Really Useful Podcast ومراجع منتظم للمنتج. حصل على بكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات فنية رقمية نُهبت من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة المهنية في الكتابة. يستمتع بكميات وفيرة من الشاي وألعاب الطاولة وكرة القدم.

يجب أن يكون لدى gopro hero 4 ملحقات
المزيد من Gavin Phillips

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

انقر هنا للاشتراك