Vpnfilter 맬웨어가 백만 개의 라우터에 감염되었습니다. 알아야 할 사항은 다음과 같습니다.

VPNFilter로 알려진 새로운 라우터 기반 맬웨어가 500, 000 개가 넘는 라우터에 감염되었다는 최근의 발견은 더 나쁜 소식이되었습니다. 6 월 13 일에 발표 될 보고서에서 Cisco는 200, 000 개 이상의 추가 라우터가 감염되었으며 VPNFilter의 기능이 처음에 생각했던 것보다 훨씬 나쁘다고 밝혔습니다. Ars Technica는 수요일 Cisco에서 기대할 사항에 대해보고했습니다.

VPNFilter는 Wi-Fi 라우터에 설치된 맬웨어입니다. 이미 54 개국의 거의 백만 대의 라우터에 감염되었으며 VPNFilter의 영향을받는 것으로 알려진 장치 목록에는 많은 일반 소비자 모델이 포함되어 있습니다. VPNFilter는 공격자가 찾아서 액세스 할 수있는 라우터 악용이 아니라 잠재적으로 끔찍한 일을 할 수있는 라우터에 의도 치 않게 설치된 소프트웨어라는 점에 유의해야합니다.

VPNFilter는 공격자가 액세스 권한을 얻는 데 사용할 수있는 취약점이 아니라 라우터에 설치되는 맬웨어입니다.

VPNFilter의 첫 번째 공격은 들어오는 트래픽에 대한 중간 공격에 사람을 사용하는 것으로 구성됩니다. 그런 다음 보안 HTTPS 암호화 트래픽을 수락 할 수없는 소스로 리디렉션하려고 시도하여 트래픽이 암호화되지 않은 일반 HTTP 트래픽으로 대체됩니다. 연구원이 ssler라고하는이 소프트웨어는 Twitter.com 또는 Google 서비스와 같이 이러한 문제가 발생하지 않도록 추가 조치를 취하는 사이트를위한 특별 조항을 제공합니다.

트래픽이 암호화되지 않으면 VPNFilter는 감염된 라우터를 통과하는 모든 인바운드 및 아웃 바운드 트래픽을 모니터링 할 수 있습니다. 모든 트래픽을 수집하고 나중에 볼 수 있도록 원격 서버로 리디렉션하는 대신 암호 또는 뱅킹 데이터와 같은 민감한 자료가 포함 된 것으로 알려진 트래픽을 대상으로합니다. 인터셉트 된 데이터는 러시아 정부와 관련이있는 해커가 제어하는 ​​서버로 다시 전송 될 수 있습니다.

VPNFilter는 들어오는 트래픽을 변경하여 서버의 응답을 위조 할 수도 있습니다. 이를 통해 악성 코드를 추적하고 문제가 발생했음을 알리기 전에 더 오래 작동 할 수 있습니다. Talos의 선임 기술 리더이자 글로벌 아웃 리치 관리자 인 Craig Williams가 ARS Technica에 들어오는 트래픽에 대해 VPNFilter가 수행 할 수있는 작업의 예는 다음과 같습니다.

그러나 과거에는 완전히 진화 한 것으로 보이며 이제는 그렇게 할 수있을뿐만 아니라 손상된 장치를 통과하는 모든 것을 조작 할 수 있습니다. 은행 계좌 잔고를 수정하여 돈과 PGP 키 및 이와 유사한 것을 제거하는 동시에 정상적인 것처럼 보이도록 할 수 있습니다. 그들은 장치에 들어오고 나가는 모든 것을 조작 할 수 있습니다.

감염 여부를 알리는 것은 어렵거나 불가능합니다 (기술 세트 및 라우터 모델에 따라 다름). 연구원은 VPNFilter에 취약한 것으로 알려진 라우터를 사용하는 사람은 자신 이 감염되었다고 가정하고 네트워크 트래픽을 다시 제어하는 ​​데 필요한 단계를 수행 할 것을 제안합니다.

취약한 것으로 알려진 라우터

이 긴 목록에는 VPNFilter에 취약한 것으로 알려진 소비자 라우터가 포함되어 있습니다. 모델이이 목록에 나타나면이 기사의 다음 섹션에있는 절차를 따르는 것이 좋습니다. "신규"로 표시된 목록의 장치는 최근에 취약한 것으로 알려진 라우터입니다.

아수스 장치:

• RT-AC66U (신규)
• RT-N10 (신규)
• RT-N10E (신규)
• RT-N10U (신규)
• RT-N56U (신규)

D- 링크 장치:

• DES-1210-08P (신규)
• DIR-300 (신품)
• DIR-300A (신품)
• DSR-250N (신규)
• DSR-500N (신규)
• DSR-1000 (신규)
• DSR-1000N (신규)

화웨이 장치:

• HG8245 (신규)

링크시스 장치:

• E1200
• E2500
• E3000 (신규)
• E3200 (신규)
• E4200 (신규)
• RV082 (신규)
• WRVS4400N

Mikrotik 장치:

• CCR1009 (신규)
• CCR1016
• CCR1036
• CCR1072
• CRS109 (신규)
• CRS112 (신규)
• CRS125 (신규)
• RB411 (신규)
• RB450 (신규)
• RB750 (신규)
• RB911 (신규)
• RB921 (신규)
• RB941 (신규)
• RB951 (신규)
• RB952 (신규)
• RB960 (신규)
• RB962 (신규)
• RB1100 (신규)
• RB1200 (신규)
• RB2011 (신규)
• RB3011 (신규)
• RB 그루브 (신규)
• RB Omnitik (신규)
• STX5 (신규)

넷기어 장치:

• DG834 (신규)
• DGN1000 (신규)
• DGN2200
• DGN3500 (신규)
• FVS318N (신규)
• MBRN3000 (신규)
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200 (신품)
• WNR4000 (신규)
• WNDR3700 (신규)
• WNDR4000 (신규)
• WNDR4300 (신규)
• WNDR4300-TN (신규)
• UTM50 (신규)

QNAP 장치:

• TS251
• TS439 프로
• QTS 소프트웨어를 실행하는 다른 QNAP NAS 장치

TP- 링크 장치:

• R600VPN
• TL-WR741ND (신규)
• TL-WR841N (신규)

유비 퀴티 장치:

• NSM2 (신규)
• PBE M5 (신규)

ZTE 장치:

• ZXHN H108N (신규)

해야 할 일

가능하면 라우터를 다시 부팅해야합니다. 이렇게하려면 전원 공급 장치에서 30 초 동안 전원 코드를 뽑았다가 다시 연결하십시오. 많은 모델의 라우터는 전원을 껐다 켜면 설치된 앱을 플러시합니다.

다음 단계는 라우터를 공장 초기화하는 것입니다. 상자에 들어있는 설명서 나 제조업체 웹 사이트에서이 작업을 수행하는 방법에 대한 정보를 찾을 수 있습니다. 일반적으로 핀을 오목한 구멍에 삽입하여 마이크로 스위치를 누릅니다. 라우터를 백업하고 실행하면 최신 버전의 펌웨어인지 확인해야합니다. 업데이트 방법에 대한 자세한 내용은 라우터와 함께 제공된 설명서를 참조하십시오.

그런 다음 라우터 사용 방법에 대한 빠른 보안 감사를 수행하십시오.

• 기본 사용자 이름과 비밀번호를 사용하여 관리 하지 마십시오. 동일한 모델의 모든 라우터는 기본 이름과 암호를 사용하므로 설정을 변경하거나 맬웨어를 쉽게 설치할 수 있습니다.
• 강력한 방화벽을 설치하지 않고 내부 장치를 인터넷에 노출시키지 마십시오. 여기에는 FTP 서버, NAS 서버, Plex 서버 또는 모든 스마트 장치가 포함됩니다. 내부 네트워크 외부에 연결된 장치를 노출해야하는 경우 포트 필터링 및 전달 소프트웨어를 사용할 수 있습니다. 그렇지 않은 경우 강력한 하드웨어 또는 소프트웨어 방화벽에 투자하십시오.
• 원격 관리를 활성화 하지 마십시오. 네트워크에서 멀리 떨어져있는 경우 편리 할 수 ​​있지만 모든 해커가 알고있는 잠재적 인 공격 지점입니다.
• 항상 최신 상태를 유지하십시오. 즉, 새 펌웨어를 정기적으로 확인해야하며, 사용 가능한 경우 반드시 설치해야합니다.

마지막으로 VPNFilter가 설치되지 않도록 펌웨어를 업데이트 할 수없는 경우 (제조업체 웹 사이트에 세부 정보가 있음) 새로 구입하십시오. 나는 완벽하게 훌륭하고 작동하는 라우터를 교체하기 위해 돈을 쓰는 것이 약간 극단적이라는 것을 알고 있지만, 이러한 종류의 팁을 읽을 필요가없는 사람이 아니라면 라우터가 감염되었는지 알 수 없습니다.

Google은 Wi-Fi와 같은 새로운 펌웨어가 제공 될 때마다 자동으로 업데이트 될 수있는 새로운 메시 라우터 시스템을 좋아합니다. VPNFilter와 같은 일이 언제 어디서나 발생할 수 있기 때문입니다. 새로운 라우터 시장에 있다면 살펴볼 가치가 있습니다.