Cách phát hiện malware VPNFilter trước khi nó phá hủy router

28/09/2018

Phần mềm độc hại trên router (bộ định tuyến), thiết bị mạng và Internet of Things ngày càng phổ biến. Hầu hết chúng lây nhiễm vào các thiết bị dễ bị tấn công và thuộc các botnet rất mạnh. Các thiết bị router và Internet of Things (IoT) luôn được cấp nguồn, luôn trực tuyến và chờ chỉ thị. Và botnet lợi dụng điều đó để tấn công các thiết bị này.

Nhưng không phải tất cả phần mềm độc hại (malware) đều giống nhau.
VPNFilter là một phần mềm độc hại mang tính phá hoại đối với các router, thiết bị IoT và thậm chí cả một số thiết bị lưu trữ mạng (NAS). Làm thế nào để bạn phát hiện xem các thiết bị của mình có nhiễm phần mềm độc hại VPNFilter không? Và làm thế nào bạn có thể loại bỏ nó? Hãy cùng xem xét kỹ hơn về VPNFilter qua bài viết sau đây.
VPNFilter là gì?
vpnfilter_logo_by_talos.jpg

VPNFilter là một biến thể phần mềm độc hại mô-đun tinh vi, chủ yếu nhắm mục tiêu các thiết bị mạng đến từ một loạt các nhà sản xuất, cũng như các thiết bị NAS. VPNFilter ban đầu được tìm thấy trên các thiết bị mạng Linksys, MikroTik, NETGEAR và TP-Link, cũng như các thiết bị QNAP NAS, với khoảng 500.000 trường hợp nhiễm ở 54 quốc gia.
Nhóm phát hiện VPNFilter, Cisco Talos, gần đây đã cập nhật các chi tiết liên quan đến phần mềm độc hại này, cho thấy rằng các thiết bị mạng từ các nhà sản xuất như ASUS, D-Link, Huawei, Ubiquiti, UPVEL và ZTE hiện đang có dấu hiệu bị nhiễm VPNFilter. Tuy nhiên, tại thời điểm viết bài, không có thiết bị mạng Cisco nào bị ảnh hưởng.
Phần mềm độc hại này không giống như hầu hết các phần mềm độc hại tập trung vào IoT khác vì nó vẫn tồn tại sau khi khởi động lại hệ thống, khiến cho việc loại bỏ chúng trở nên khó khăn hơn. Các thiết bị sử dụng thông tin xác thực đăng nhập mặc định của chúng hoặc với lỗ hổng zero-day (lỗ hổng phần mềm máy tính không được biết đến), trường hợp  không thường xuyên được cập nhật firmware đặc biệt dễ bị tấn công hơn.
VPNFilter có thể làm những gì?
VPNFilter là một "nền tảng đa mô-đun, đa nền tảng" có thể gây thiệt hại và phá hủy các thiết bị. Hơn nữa, nó cũng có thể trở thành một một mối đe dọa đáng lo ngại, khi thu thập dữ liệu người dùng. VPNFilter hoạt động trong nhiều giai đoạn.
Giai đoạn 1: VPNFilter ở giai đoạn 1 thiết lập một vị trí đổ bộ trên thiết bị, liên hệ với máy chủ phát lệnh và điều khiển (C&C) để tải xuống các mô-đun bổ sung và chờ chỉ thị. Giai đoạn 1 cũng có nhiều phương án dự phòng được tích hợp để định vị giai đoạn 2 C&C, trong trường hợp thay đổi cơ sở hạ tầng trong quá trình triển khai. Phần mềm độc hại VPNFilter ở giai đoạn 1 cũng có thể tồn tại khi khởi động lại, làm cho nó trở thành một mối đe dọa rất nguy hiểm.
Giai đoạn 2: VPNFilter ở giai đoạn 2 không tồn tại sau khi khởi động lại, nhưng nó có rất nhiều khả năng ở giai đoạn này. Giai đoạn 2 có thể thu thập dữ liệu cá nhân, thực thi lệnh và can thiệp vào việc quản lý thiết bị. Ngoài ra, có những phiên bản khác nhau của giai đoạn 2 trong thực tế. Một số phiên bản được trang bị một mô-đun phá hủy ghi đè lên một phân vùng của firmware thiết bị, sau đó khởi động lại để làm cho thiết bị không sử dụng được (về cơ bản, phần mềm độc hại sẽ vô hiệu hóa các thiết bị router, IoT hoặc NAS).
Giai đoạn 3: Các mô-đun VPNFilter ở giai đoạn 3 hoạt động như các plugin cho giai đoạn 2, mở rộng chức năng của VPNFilter. Một mô-đun hoạt động như một packet sniffer, thu thập lưu lượng truy cập đến trên thiết bị và đánh cắp thông tin đăng nhập. Một loại khác cho phép phần mềm độc hại ở giai đoạn 2 giao tiếp an toàn bằng Tor. Cisco Talos cũng tìm thấy một mô-đun làm nhiễm nội dung độc hại vào lưu lượng truy cập qua thiết bị, nghĩa là hacker có thể khai thác thêm các thiết bị được kết nối khác thông qua thiết bị router, IoT hoặc NAS.
Ngoài ra, các mô-đun VPNFilter “cho phép lấy cắp thông tin đăng nhập trang web và giám sát các giao thức Modbus SCADA”.
Trích xuất địa chỉ IP máy chủ
Một tính năng thú vị khác (nhưng không phải mới được phát hiện) của phần mềm độc hại VPNFilter là việc sử dụng các dịch vụ chia sẻ ảnh trực tuyến để tìm địa chỉ IP cho máy chủ C&C của nó. Phân tích của Talos phát hiện ra rằng phần mềm độc hại trỏ đến một loạt các URL Photobucket. Phần mềm độc hại tải xuống hình ảnh đầu tiên trong thư viện tham chiếu URL và trích xuất địa chỉ IP máy chủ bị ẩn trong siêu dữ liệu hình ảnh.
Địa chỉ IP “được trích xuất từ ​​6 giá trị số nguyên cho vĩ độ và kinh độ GPS trong thông tin EXIF.” Nếu điều đó không thành công, phần mềm độc hại ở giai đoạn 1 sẽ trở lại domain thông thường (toknowall.com - thêm thông tin bên dưới) để tải xuống hình ảnh và cố gắng thực hiện quá trình tương tự.
vpnfilter-malware.jpg

Packet sniffing được nhắm mục tiêu
Báo cáo cập nhật của Talos cho thấy một số thông tin chi tiết thú vị về mô-đun packet sniffing VPNFilter. Thay vì can thiệp vào tất cả mọi thứ, nó có một bộ các quy tắc nghiêm ngặt, nhắm mục tiêu cụ thể vào các loại lưu lượng truy cập. Cụ thể, lưu lượng truy cập từ hệ thống điều khiển công nghiệp (SCADA), sử dụng VPN TP-Link R600, kết nối tới danh sách địa chỉ IP được xác định trước (biểu thị kiến ​​thức nâng cao về các mạng khác và lưu lượng truy cập mong muốn), cũng như gói dữ liệu 150 byte hoặc lớn hơn.
Craig William, lãnh đạo cao cấp về công nghệ và quản lý mảng tiếp cận toàn cầu tại Talos, phát biểu với Ars như sau: “VPNFilter đang tìm kiếm những điều rất cụ thể. Chúng không cố gắng thu thập nhiều lưu lượng truy cập nhất có thể. Chúng chỉ cố gắng lấy một số thứ rất nhỏ như thông tin đăng nhập và mật khẩu. Chúng tôi không có nhiều thông tin về điều đó, ngoài việc biết rằng nó nhắm mục tiêu rất cụ thể và vô cùng tinh vi. Chúng tôi vẫn đang cố gắng tìm hiểu xem chúng đang áp dụng phương thức này với đối tượng nào”.
VPNFilter đến từ đâu?
VPNFilter được cho là công trình của một nhóm hacker được nhà nước bảo trợ. Việc lây nhiễm VPNFilter ban đầu được phát hiện ở Ukraine, và nhiều nguồn tin cho rằng đây là sản phẩm của nhóm tấn công Fancy Bear, do Nga hậu thuẫn.
Tuy nhiên, chưa có quốc gia hay nhóm hacker nào lên tiếng nhận trách nhiệm về phần mềm độc hại này. Với các quy tắc chi tiết và nhắm mục tiêu của phần mềm độc hại đối với SCADA và các giao thức hệ thống công nghiệp khác, thì giả thuyết phần mềm này được một quốc gia hậu thuẫn dường như có khả năng nhất.
Tuy nhiên, FBI lại tin rằng VPNFilter là sản phẩm của Fancy Bear. Vào tháng 5 năm 2018, FBI đã tịch thu một domain - ToKnowAll.com - được cho là đã được sử dụng để cài đặt và chỉ huy phần mềm độc hại VPNFilter ở giai đoạn 2 và giai đoạn 3. Việc thu giữ domain này chắc chắn đã giúp ngăn chặn sự lan truyền tức thời của VPNFilter, nhưng không giải quyết triệt để vấn đề. Cơ quan An ninh Ukraine (SBU) đã ngăn chặn một cuộc tấn công VPNFilter vào một nhà máy chế biến hóa chất vào tháng 7 năm 2018.
VPNFilter cũng mang những điểm tương đồng với phần mềm độc hại BlackEnergy, một trojan APT được sử dụng để chống lại một loạt các mục tiêu ở Ukraine. Một lần nữa, dù chưa có bằng chứng chính xác, những cuộc tấn công nhắm mục tiêu vào các hệ thống của Ukraine chủ yếu xuất phát từ các nhóm hacker có quan hệ mật thiết với Nga.
Làm cách nào để biết thiết bị của bạn có bị nhiễm VPNFilter không?
Rất có thể router của bạn không bị nhiễm phần mềm độc hại VPNFilter. Nhưng vẫn tốt hơn nếu chắc chắn thiết bị của bạn được an toàn:
Kiểm tra router của bạn với liên kết: https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware. Nếu thiết bị của bạn không có trong danh sách, mọi thứ đều ổn.
Bạn có thể truy cập trang kiểm tra VPNFilter của Symantec: http://www.symantec.com/filtercheck/. Tích vào hộp điều khoản và điều kiện, sau đó nhấn nút Run VPNFilter Check ở giữa. Bài kiểm tra sẽ hoàn thành trong vài giây.
cach-phat-hien-malware-vpnfilter-truoc-khi-no-pha-huy-router-2.gif

Nếu bị nhiễm VPNFilter, bạn phải làm gì?
Nếu Symantec VPNFilter Check xác nhận rằng router của bạn bị nhiễm VPNFilter, bạn cần thực hiện các hành động sau.
Reset router của bạn, sau đó chạy VPNFilter Check một lần nữa.
Reset router của bạn về cài đặt gốc.
Tải xuống firmware mới nhất cho router và hoàn tất việc cài đặt firmware “sạch”, tốt nhất là không có router tạo kết nối trực tuyến trong suốt quá trình.
Hơn nữa, bạn cần phải quét toàn bộ hệ thống trên mỗi thiết bị được kết nối với router bị nhiễm VPNFilter.
Bạn nên luôn thay đổi thông tin đăng nhập mặc định của router, cũng như bất kỳ thiết bị IoT hoặc NAS nào (thực hiện nhiệm vụ này không dễ dàng trên các thiết bị IoT), nếu có thể. Ngoài ra, dù có bằng chứng cho thấy VPNFilter có thể vượt qua một số tường lửa, nhưng việc cài đặt và cấu hình tường lửa đúng cách vẫn sẽ giúp loại bỏ nhiều thứ khó chịu khác ra khỏi mạng của bạn.
Malware trên router ngày càng phổ biến. Phần mềm độc hại và lỗ hổng IoT ở khắp mọi nơi và với số lượng thiết bị trực tuyến ngày càng tăng lên, tình hình sẽ trở nên tồi tệ hơn. Router là tiêu điểm cho dữ liệu trong nhà của bạn. Tuy nhiên, nó không nhận được sự chú ý về bảo mật nhiều như các thiết bị khác. Nói một cách đơn giản, router không an toàn như bạn nghĩ.
( Theo Phòng Nghiệp Vụ )