VPNFilter 악성코드가 라우터를 파괴하기 전에 탐지하는 방법

VPNFilter 악성코드가 라우터를 파괴하기 전에 탐지하는 방법

라우터, 네트워크 장치, 사물인터넷(IoT)의 악성 코드 가 점점 더 보편화되고 있습니다. 이들 중 대부분은 취약한 장치를 감염시키며 매우 강력한 봇넷에 속합니다. 라우터와 사물 인터넷(IoT) 장치는 항상 전원이 공급되고, 항상 온라인 상태이며, 명령을 기다리고 있습니다. 그리고 봇넷은 이를 이용하여 이러한 장치를 공격합니다.

그러나 모든 악성 코드( 악성 코드 )가 동일한 것은 아닙니다.

VPNFilter는 라우터, IoT 장치, 심지어 일부 NAS(Network Attached Storage) 장치까지 공격하는 파괴적인 악성 코드입니다. 장치가 VPNFilter 악성 코드에 감염되었는지 어떻게 감지합니까? 그리고 어떻게 제거할 수 있나요? 다음 글을 통해 VPNFilter에 대해 자세히 살펴보겠습니다.

악성코드 VPNFilter란 무엇입니까? 그것을 제거하는 방법?

VPN필터란 무엇입니까?

VPNFilter 악성코드가 라우터를 파괴하기 전에 탐지하는 방법

VPNFilter는 NAS 장치뿐만 아니라 다양한 제조업체의 네트워크 장치를 주로 표적으로 삼는 정교한 모듈식 악성 코드 변종입니다 . VPNFilter는 처음에 Linksys , MikroTik, NETGEAR 및 TP-Link 네트워크 장치 는 물론 QNAP NAS 장치에서도 발견되었으며, 54개국에서 약 500,000건이 감염되었습니다.

VPNFilter 검색 팀인 Cisco Talos는 최근 이 악성 코드와 관련된 세부 정보를 업데이트하여 ASUS, D-Link, Huawei, Ubiquiti, UPVEL 및 ZTE와 같은 제조업체의 네트워크 장치가 현재 VPNFilter에 감염된 징후를 보이고 있음을 보여줍니다. 그러나 이 글을 쓰는 시점에는 Cisco 네트워크 장치가 영향을 받지 않았습니다.

이 악성 코드는 시스템 재부팅 후에도 지속되어 제거하기가 더 어렵다는 점에서 대부분의 다른 IoT 중심 악성 코드와 다릅니다. 기본 로그인 자격 증명을 사용하거나 펌웨어 로 정기적으로 업데이트되지 않는 제로데이 취약점(알려지지 않은 컴퓨터 소프트웨어 취약점)이 있는 장치 는 특히 취약합니다.

VPNFilter는 무엇을 할 수 있나요?

VPNFilter는 장치를 손상시키고 파괴할 수 있는 "다중 모듈, 크로스 플랫폼"입니다. 또한 사용자 데이터를 수집하여 걱정스러운 위협이 될 수도 있습니다. VPNFilter는 여러 단계로 작동합니다.

1단계 : 1단계의 VPNFilter는 장치에 랜딩 사이트를 설정하고 명령 및 제어(C&C) 서버에 연결하여 추가 모듈을 다운로드한 후 지침을 기다립니다. 또한 1단계에는 구현 중 인프라가 변경되는 경우 2단계 C&C를 배치하기 위한 여러 기본 비상 상황이 있습니다. 1단계 VPNFilter 악성 코드는 재부팅 후에도 살아남을 수 있어 매우 위험한 위협입니다.

2단계 : 2단계의 VPNFilter는 재부팅 후에도 지속되지 않지만 이 단계에서는 많은 기능을 갖습니다. 2단계에서는 개인 데이터를 수집하고 명령을 실행하며 장치 관리를 방해할 수 있습니다. 또한 실제로 2단계에는 다양한 버전이 있습니다. 일부 버전에는 장치 펌웨어 의 파티션을 덮어쓴 다음 재부팅하여 장치를 사용할 수 없게 만드는 파괴적인 모듈이 장착되어 있습니다(기본적으로 맬웨어 비활성화). 라우터 , IoT 또는 NAS 장치 구성).

3단계 : 3단계의 VPNFilter 모듈은 2단계의 플러그인 역할을 하여 VPNFilter의 기능을 확장합니다. 패킷 스니퍼 역할을 하는 모듈로 , 장치에서 들어오는 트래픽을 수집하고 로그인 자격 증명을 훔칩니다. 또 다른 유형은 2단계 악성 코드가 Tor를 사용하여 안전하게 통신할 수 있도록 허용합니다 . Cisco Talos는 또한 장치를 통과하는 트래픽에 악성 콘텐츠를 삽입하는 모듈을 발견했습니다. 이는 해커가 라우터, IoT 또는 NAS 장치를 통해 연결된 다른 장치를 추가로 악용할 수 있음을 의미합니다.

또한 VPNFilter 모듈을 사용하면 "웹사이트 자격 증명을 도용하고 Modbus SCADA 프로토콜을 모니터링할 수 있습니다."

서버 IP 주소 추출

VPNFilter 악성 코드의 또 다른 흥미로운(새롭게 발견되지는 않은) 기능은 온라인 사진 공유 서비스를 사용하여 C&C 서버의 IP 주소를 찾는 것입니다. Talos 분석에서는 이 악성코드가 일련의 Photobucket URL을 가리키는 것으로 나타났습니다. 악성코드는 URL 참조 갤러리의 첫 번째 이미지를 다운로드하고 이미지 메타데이터에 숨겨진 서버 IP 주소를 추출합니다.

IP 주소는 “ EXIF 정보에 있는 GPS 위도·경도 정수 6개 값에서 추출된다 ”. 이것이 실패하면 1단계 악성 코드는 일반 도메인(toknowall.com - 아래에서 자세히 설명)으로 돌아가 이미지를 다운로드하고 동일한 프로세스를 시도합니다.

VPNFilter 악성코드가 라우터를 파괴하기 전에 탐지하는 방법

패킷 스니핑이 타겟입니다

Talos의 업데이트 보고서에는 VPNFilter 패킷 스니핑 모듈에 대한 몇 가지 흥미로운 세부 정보가 나와 있습니다. 모든 것을 방해하는 대신 특정 유형의 트래픽을 대상으로 하는 엄격한 규칙 세트를 가지고 있습니다. 특히, TP-Link R600 VPN을 사용하는 산업 제어 시스템(SCADA)의 트래픽은 사전 정의된 IP 주소 목록(네트워크에 대한 고급 지식을 나타냄) 및 원하는 트래픽뿐만 아니라 150바이트 이상의 데이터 패킷에 연결됩니다. 더 큰.

Talos의 수석 기술 책임자이자 글로벌 도달 범위 관리자인 Craig William은 Ars에 "VPNFilter는 매우 구체적인 것을 찾고 있습니다."라고 말했습니다. 그들은 가능한 한 많은 트래픽을 수집하려고 하지 않습니다. 그들은 로그인 정보나 비밀번호 같은 아주 사소한 정보만 얻으려고 합니다. 우리는 그것이 매우 표적화되고 극도로 정교하다는 것을 아는 것 외에는 그것에 대한 많은 정보를 가지고 있지 않습니다. 우리는 아직도 이 방법을 누구에게 적용하는지 알아내려고 노력하고 있습니다."

VPNFilter는 어디에서 왔나요?

VPNFilter는 국가가 후원하는 해커 그룹의 작품으로 여겨집니다. VPNFilter 감염은 우크라이나에서 처음 발견되었으며, 많은 소식통은 이것이 러시아 지원 해킹 그룹 Fancy Bear의 소행이라고 믿고 있습니다.

그러나 어떤 국가나 해커 그룹도 이 악성코드에 대한 책임을 주장하지 않았습니다. SCADA 및 기타 산업 시스템 프로토콜에 대한 악성 코드의 세부적이고 표적화된 규칙을 고려할 때, 해당 소프트웨어가 국가의 지원을 받는다는 이론이 가장 가능성이 높습니다.

그러나 FBI는 VPNFilter가 Fancy Bear의 제품이라고 믿고 있습니다. 2018년 5월, FBI는 2단계 및 3단계 VPNFilter 악성 코드를 설치하고 명령하는 데 사용된 것으로 추정되는 도메인(ToKnowAll.com)을 압수했습니다. 이 도메인 압수는 확실히 VPNFilter의 즉각적인 확산을 막는 데 도움이 되었지만, 문제를 완전히 해결하지 못했습니다. 우크라이나 보안국(SBU)은 2018년 7월 화학 처리 공장에 대한 VPNFilter 공격을 예방했습니다.

VPNFilter는 또한 우크라이나의 다양한 대상을 대상으로 사용되는 APT 트로이목마인 BlackEnergy 악성코드와 유사합니다 . 다시 한번 말씀드리지만 정확한 증거는 없지만 우크라이나 시스템을 표적으로 하는 공격은 주로 러시아와 긴밀한 관계를 맺고 있는 해커 그룹에서 이루어집니다.

장치가 VPNFilter에 감염되었는지 어떻게 알 수 있나요?

귀하의 라우터가 VPNFilter 악성 코드에 감염되지 않았을 가능성이 있습니다. 하지만 기기가 안전한지 확인하는 것이 더 좋습니다.

https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware 링크를 통해 라우터를 확인하십시오 . 귀하의 장치가 목록에 없으면 모든 것이 정상입니다.

Symantec의 VPNFilter 테스트 페이지( http://www.symantec.com/filtercheck/)를 방문할 수 있습니다. 이용 약관 박스를 체크한 뒤, 중앙에 있는 VPNFilter Check 실행 버튼을 눌러주세요. 테스트는 몇 초 안에 완료됩니다.

VPNFilter 악성코드가 라우터를 파괴하기 전에 탐지하는 방법

VPNFilter에 감염된 경우 어떻게 해야 합니까?

Symantec VPNFilter Check에서 라우터가 VPNFilter에 감염된 것으로 확인되면 다음 조치를 취해야 합니다.

  • 라우터를 재설정한 다음 VPNFilter Check를 다시 실행하세요.
  • 라우터를 공장 설정으로 재설정하세요.
  • 라우터의 최신 펌웨어를 다운로드하고 "클린" 펌웨어 설치를 완료하세요. 가급적이면 프로세스 중에 라우터가 온라인 연결을 설정하지 않는 것이 좋습니다.

또한 VPNFilter에 감염된 라우터에 연결된 각 장치에 대해 전체 시스템 검사를 수행해야 합니다.

VPNFilter 악성 코드를 제거하는 가장 효과적인 방법은 바이러스 백신 소프트웨어 와 악성 코드 제거 애플리케이션을 사용하는 것입니다. 두 도구 모두 이 바이러스가 실제로 컴퓨터와 라우터를 감염시키기 전에 이를 탐지할 수 있습니다.

바이러스 백신 소프트웨어는 컴퓨터 속도에 따라 프로세스를 완료하는 데 몇 시간이 걸릴 수 있지만 악성 파일을 제거하는 가장 좋은 방법도 제공합니다.

VPNFilter와 같은 맬웨어를 탐지하고 문제가 발생하기 전에 제거하는 맬웨어 제거 도구를 설치하는 것도 가치가 있습니다.

바이러스 백신 소프트웨어와 마찬가지로 맬웨어 검사 프로세스는 컴퓨터 하드 드라이브의 크기와 속도에 따라 많은 시간이 걸릴 수 있습니다.

다른 바이러스와 마찬가지로 라우터에서 VPNFilter 악성 코드도 제거해야 합니다. 이렇게 하려면 라우터를 공장 기본 설정으로 재설정해야 합니다.

라우터 하드 리셋을 사용하려면 새 관리자 비밀번호 생성 및 모든 장치에 대한 무선 네트워크 설정을 포함하여 라우터를 처음부터 재설정해야 합니다. 올바르게 수행하려면 시간이 좀 걸립니다.

가능하다면 라우터와 IoT 또는 NAS 장치의 기본 자격 증명을 항상 변경해야 합니다(IoT 장치에서는 이 작업을 수행하기가 쉽지 않습니다). 또한 VPNFilter가 일부 방화벽을 우회할 수 있다는 증거가 있지만 방화벽을 적절하게 설치하고 구성하면 네트워크에서 다른 많은 방화벽을 차단하는 데 여전히 도움이 됩니다.

VPNFilter 악성코드가 라우터를 파괴하기 전에 탐지하는 방법

VPNFilter 악성코드를 제거하는 가장 효과적인 방법은 바이러스 백신 소프트웨어를 사용하는 것입니다.

VPNFilter 악성코드의 재감염을 피하는 방법은 무엇입니까?

VPNFilter와 직접 관련된 특정 팁을 포함하여 VPNFilter(또는 다른 바이러스)에 다시 감염될 위험을 줄일 수 있는 몇 가지 주요 방법이 있습니다.

라우터 펌웨어 업데이트

업데이트된 라우터는 VPNFilter 악성 코드 및 기타 보안 위협으로부터 보호됩니다. 항상 가능한 한 빨리 업데이트하는 것을 잊지 마세요.

라우터 비밀번호 변경

라우터 제조업체에서 설정한 기본 비밀번호를 사용하지 마세요. 더욱 강력 하고 악의적인 공격자의 공격을 받을 가능성이 적은 나만의 비밀번호를 만드세요 .

바이러스 백신 소프트웨어 업데이트

바이러스 백신 및 맬웨어 방지 프로그램을 최신 상태로 유지하십시오. 새로운 바이러스 정의는 정기적으로 출시되며 이를 통해 찾아야 할 새로운 바이러스 및 맬웨어 위협에 대한 정보를 PC에 지속적으로 제공합니다.

새로운 프로그램을 찾아보세요!

다운로드한 프로그램과 애플리케이션의 출처를 명확하게 아는 것이 중요합니다. 평판이 좋지 않은 사이트에는 VPNFilter와 같이 필요하지 않은 추가 기능이 많이 있습니다.

팝업 광고를 클릭하지 마세요!

웹사이트를 탐색하는 동안 배너가 나타나면 클릭하지 마세요. 일반적으로 가장 안전한 방법은 팝업 광고가 가득한 웹사이트가 아닌 다른 웹사이트를 방문하는 것입니다.

라우터의 악성 코드가 점점 더 대중화되고 있습니다. 맬웨어와 IoT 취약성은 어디에나 있으며, 온라인 장치 수가 계속 증가함에 따라 상황은 더욱 악화될 것입니다. 라우터는 집에 있는 데이터의 중심입니다. 그러나 다른 장치만큼 보안에 대한 관심을 받지는 않습니다. 간단히 말해서, 라우터는 생각만큼 안전하지 않습니다.

더보기:


Windows 10에서 전체 디스크 암호화를 활성화하는 방법은 무엇입니까?

Windows 10에서 전체 디스크 암호화를 활성화하는 방법은 무엇입니까?

Windows 10 운영 체제에서는 기본적으로 암호화를 사용하는 경우도 있지만 사용하지 않는 경우도 있습니다. 아래 기사에서 LuckyTemplates는 Windows 10 컴퓨터의 메모리가 암호화되었는지 여부를 확인하는 방법을 안내합니다.

Windows 10의 날씨 앱에서 온도를 °C 또는 °F로 표시하는 방법

Windows 10의 날씨 앱에서 온도를 °C 또는 °F로 표시하는 방법

세계 어디에서든 원하는 도시나 위치를 표시하고 기온을 섭씨(°C) 단위로 표시하도록 일기예보를 쉽게 설정할 수 있습니다. 이 설정은 Windows 10의 날씨 앱과 작업 표시줄의 "뉴스 및 관심사" 위젯에서 조정할 수 있습니다.

해킹 기술을 배울 수 있는 최고의 웹사이트

해킹 기술을 배울 수 있는 최고의 웹사이트

해커에 관해 우리가 상상하는 첫 번째 고정관념은 아마도 대학생이거나 컴퓨터 과학 분야의 전문가일 것입니다.

Windows 10에서 Hyper-V 검사점을 만들고 사용하는 방법

Windows 10에서 Hyper-V 검사점을 만들고 사용하는 방법

체크포인트는 가상 머신의 변경 사항을 쉽게 취소할 수 있게 해주는 Hyper-V의 강력한 기능입니다.

Windows PC에서 DMG 파일 확장자를 무료로 읽을 수 있는 3가지 도구

Windows PC에서 DMG 파일 확장자를 무료로 읽을 수 있는 3가지 도구

DMG 이미지 파일 형식은 Mac OS X에서 소프트웨어를 배포하는 데 사용되는 가장 널리 사용되는 파일 저장 형식입니다. 이 파일 확장자는 Windows PC 컴퓨터에서 읽을 수 없습니다. 그러나 Windows PC에서 이 파일 확장자를 읽으려면 타사 응용 프로그램의 지원을 요청할 수 있습니다.

99개 이상의 구찌 배경화면, 아름다운 구찌 배경화면 다운로드

99개 이상의 구찌 배경화면, 아름다운 구찌 배경화면 다운로드

아래 구찌 배경화면 중 일부가 컴퓨터 배경화면이나 휴대폰 배경화면에 적합한지 살펴보겠습니다.

Windows 10의 파일 탐색기 탐색 창에서 빠른 액세스를 추가/제거하는 방법

Windows 10의 파일 탐색기 탐색 창에서 빠른 액세스를 추가/제거하는 방법

빠른 액세스는 작업 중인 파일과 자주 사용하는 폴더에 대한 최단 경로입니다. 자주 액세스하는 폴더와 최근 파일입니다.

Opera VPN 검토: 간단하고 빠르며 무료입니다.

Opera VPN 검토: 간단하고 빠르며 무료입니다.

아마도 Opera 웹 브라우저에 무료 VPN이 제공된다는 소식을 들었을 수도 있고, 이미 Opera를 좋아하고 VPN 서비스가 어떻게 작동하는지 알고 싶을 수도 있습니다.

2.4GHz Wi-Fi 네트워크를 비활성화하는 방법과 이유는 무엇입니까?

2.4GHz Wi-Fi 네트워크를 비활성화하는 방법과 이유는 무엇입니까?

홈 Wi-Fi 네트워크에서 기존 2.4GHz 대역을 끄고 더 빠르고 덜 "붐비는" 새로운 5GHz 대역을 사용하는 것을 고려해야 합니다. 다음 글을 통해 알아보도록 하겠습니다.

Windows Defender에서 샌드박스 기능을 활성화하는 방법

Windows Defender에서 샌드박스 기능을 활성화하는 방법

Microsoft Windows Defender의 통합 바이러스 백신 엔진은 샌드박스 환경에서 실행할 수 있는 최초의 바이러스 백신 소프트웨어가 되었습니다.