什麼是惡意軟體 HackTool:Win32/Keygen?如何去除?
您是否掃描過您的設備並發現它感染了 HackTool:Win32/Keygen?在您使用破解或金鑰產生器啟動進階軟體後,Windows Defender 可能會自動警告您有關此惡意軟體的存在。
如何在 VPNFilter 惡意軟體破壞路由器之前偵測到它
路由器、網路設備和物聯網上的惡意軟體越來越普遍。其中大多數會感染易受攻擊的設備,並且屬於非常強大的殭屍網路。路由器和物聯網 (IoT) 設備始終通電、始終在線並等待指令。殭屍網路利用這一點來攻擊這些設備。
但並非所有惡意軟體(malware)都是一樣的。
VPNFilter 是一種破壞性惡意軟體,會攻擊路由器、物聯網設備,甚至某些網路附加儲存 (NAS) 設備。如何偵測您的裝置是否感染了 VPNFilter 惡意軟體?如何刪除它?讓我們透過下面的文章來詳細了解VPNFilter。
什麼是惡意軟體 VPNFilter?如何去除它?
- 什麼是 VPN 過濾器?
- VPNFilter 可以做什麼?
- VPNFilter從哪裡來?
- 如何知道您的裝置是否感染了 VPNFilter?
- 如果您感染了 VPNFilter,該怎麼辦?
- 如何避免再次感染 VPNFilter 惡意軟體?
什麼是 VPN 過濾器?
VPNFilter 是一種複雜的模組化惡意軟體變體,主要針對一系列製造商的網路設備以及 NAS 設備。 VPNFilter 最初發現於Linksys、MikroTik、NETGEAR 和TP-Link網路設備以及 QNAP NAS 設備上,在 54 個國家感染了大約 50 萬例。
VPNFilter 發現團隊 Cisco Talos 最近更新了與該惡意軟體相關的詳細信息,顯示來自華碩、D-Link、華為、Ubiquiti、UPVEL 和中興通訊等製造商的網路設備目前顯示出感染 VPNFilter 的跡象。然而,在撰寫本文時,並沒有任何思科網路設備受到影響。
這種惡意軟體與大多數其他針對物聯網的惡意軟體不同,因為它在系統重新啟動後仍然存在,因此更難刪除。使用預設登入憑證或存在零時差漏洞(未知電腦軟體漏洞)且未定期更新韌體的裝置尤其容易受到攻擊。
VPNFilter 可以做什麼?
VPNFilter 是一個“多模組、跨平台”,可以損壞和破壞設備。此外,它還可能成為一個令人擔憂的威脅,收集用戶資料。 VPNFilter 的工作分為幾個階段。
第 1 階段:第 1 階段中的 VPNFilter 在裝置上建立登陸站點,聯絡命令與控制 (C&C) 伺服器以下載其他模組,並等待指令。第 1 階段還具有多個內建應急措施,以應對實施期間基礎設施發生變化的情況,以定位第 2 階段的 C&C。階段 1 VPNFilter 惡意軟體也可以在重新啟動後存活,使其成為非常危險的威脅。
第 2 階段:第 2 階段中的 VPNFilter 在重新啟動後不會保留,但在此階段它具有許多功能。第 2 階段可以收集個人資料、執行命令並幹擾設備管理。此外,實務上第二階段有不同的版本。某些版本配備了破壞性模組,該模組會覆蓋設備韌體的一個分區,然後重新啟動以使設備無法使用(本質上是禁用惡意軟體。配置路由器、IoT 或 NAS設備)。
第 3 階段:第 3 階段中的 VPNFilter 模組充當第 2 階段的插件,擴展了 VPNFilter 的功能。充當封包嗅探器的模組,收集裝置上的傳入流量並竊取登入憑證。另一種類型允許第 2 階段惡意軟體使用Tor進行安全通訊。 Cisco Talos 還發現了一個模組,該模組將惡意內容注入到通過設備的流量中,這意味著駭客可以透過路由器、物聯網或 NAS 設備進一步利用其他連接的設備。
此外,VPNFilter 模組「可以竊取網站憑證並監控 Modbus SCADA 協定」。
提取伺服器IP位址
VPNFilter 惡意軟體的另一個有趣(但不是新發現的)功能是它使用線上照片共享服務來尋找其 C&C 伺服器的IP 位址。 Talos 分析發現,該惡意軟體指向一系列 Photobucket URL。惡意軟體下載 URL 參考庫中的第一張圖像,並提取隱藏在圖像元資料中的伺服器IP 位址。
IP位址「是從EXIF資訊中的GPS緯度和經度的6個整數值中提取的」。如果失敗,第一階段惡意軟體將返回其常規網域(toknowall.com - 下面詳細介紹)以下載圖像並嘗試相同的過程。
資料包嗅探是有針對性的
Talos 的更新報告顯示了有關 VPNFilter 封包嗅探模組的一些有趣的細節。它沒有乾擾一切,而是有一套嚴格的規則,針對特定類型的流量。具體來說,來自工業控制系統 (SCADA) 的流量使用 TP-Link R600 VPN 連接到預先定義的 IP 位址清單(表明網路的高級知識和所需流量)以及 150 位元組或 150 位元組的封包。更大。
Talos 高級技術主管兼全球影響力經理 Craig William 告訴 Ars:“VPNFilter 正在尋找非常具體的東西。”他們並沒有試圖收集盡可能多的流量。他們只嘗試獲取一些非常小的信息,例如登入資訊和密碼。我們對此沒有太多信息,只知道它非常有針對性且極其複雜。我們仍在試圖找出他們將這種方法應用於誰。”
VPNFilter從哪裡來?
VPNFilter 被認為是國家資助的駭客組織所為。 VPNFilter 感染最初是在烏克蘭發現的,許多消息來源認為這是俄羅斯支持的駭客組織 Fancy Bear 所為。
然而,沒有任何國家或駭客組織聲稱對這種惡意軟體負責。鑑於該惡意軟體針對 SCADA 和其他工業系統協議的詳細且有針對性的規則,該軟體由民族國家支持的理論似乎最有可能。
不過,FBI 認為 VPNFilter 是 Fancy Bear 的產品。 2018 年5 月,FBI 查獲了一個網域- ToKnowAll.com - 據信已被用於安裝和命令第2 階段和第3 階段VPNFilter 惡意軟體。查封該網域很可能有助於阻止VPNFilter 的立即傳播,但它並沒有徹底解決問題。烏克蘭安全局 (SBU) 於 2018 年 7 月阻止了針對化學加工廠的 VPNFilter 攻擊。
VPNFilter 也與 BlackEnergy 惡意軟體有相似之處,BlackEnergy 是一種針對烏克蘭一系列目標的APT木馬。再次強調,雖然沒有確切證據,但針對烏克蘭系統的攻擊主要來自與俄羅斯關係密切的駭客組織。
如何知道您的裝置是否感染了 VPNFilter?
您的路由器很可能沒有感染 VPNFilter 惡意軟體。但最好還是確保您的設備安全:
使用以下連結檢查您的路由器: https: //www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware。如果您的設備不在清單中,則一切正常。
您可以造訪賽門鐵克的 VPNFilter 測試頁面:http://www.symantec.com/filtercheck/。檢查條款和條件框,然後按中間的執行 VPNFilter 檢查按鈕。測試將在幾秒鐘內完成。
如果您感染了 VPNFilter,該怎麼辦?
如果 Symantec VPNFilter Check 確認您的路由器感染了 VPNFilter,您需要採取以下操作。
- 重設路由器,然後再次執行 VPNFilter Check。
- 將路由器重設為原廠設定。
- 下載路由器的最新韌體並完成「乾淨」的韌體安裝,最好在此過程中路由器不進行線上連線。
此外,您需要對連接到受 VPNFilter 感染的路由器的每台裝置進行完整的系統掃描。
刪除 VPNFilter 惡意軟體最有效的方法是使用防毒軟體以及惡意軟體移除應用程式。這兩種工具都可以在該病毒實際感染您的電腦和路由器之前檢測到該病毒。
防毒軟體可能需要幾個小時才能完成該過程,具體取決於電腦的速度,但它也為您提供了刪除惡意檔案的最佳方法。
安裝惡意軟體移除工具也是值得的,該工具可以檢測 VPNFilter 等惡意軟體,並在其引起任何問題之前將其殺死。
與防毒軟體一樣,惡意軟體掃描過程可能需要幾個小時,具體取決於電腦硬碟的大小及其速度。
與其他病毒一樣,您還需要從路由器中移除 VPNFilter 惡意軟體。為此,您需要將路由器重設為原廠預設值。
硬重置路由器要求您從頭開始重置路由器,包括建立新的管理員密碼並為所有裝置設定無線網路。正確地完成它需要一些時間。
如果可能的話,您應該始終更改路由器以及任何 IoT 或 NAS 設備的預設憑證(在 IoT 設備上執行此任務並不容易)。此外,雖然有證據表明 VPNFilter 可以繞過某些防火牆,但正確安裝和設定防火牆仍然有助於將許多其他討厭的東西排除在您的網路之外。
移除 VPNFilter 惡意軟體最有效的方法是使用防毒軟體
如何避免再次感染 VPNFilter 惡意軟體?
有幾種關鍵方法可以降低您再次感染 VPNFilter(或任何其他病毒)的風險,包括與 VPNFilter 直接相關的特定提示。
更新路由器韌體
更新後的路由器可免受 VPNFilter 惡意軟體以及其他安全威脅的影響。永遠記得盡快更新。
變更路由器密碼
不要使用路由器製造商設定的預設密碼。建立您自己的密碼,這些密碼更強大且不太可能受到惡意行為者的攻擊。
更新防毒軟體
讓您的防毒和反惡意軟體程式保持最新。新的病毒定義會定期發布,讓您的電腦隨時了解需要尋找的新病毒和惡意軟體威脅。
敬請留意新節目!
清楚了解您下載的程式和應用程式的來源非常重要。信譽較差的網站有許多您不需要的附加元件,例如 VPNFilter。
不要點擊彈出廣告!
當您瀏覽網站時出現橫幅時,請勿點擊它。通常,最安全的方法是造訪另一個網站,而不是造訪充滿彈出廣告的網站。
路由器上的惡意軟體越來越流行。惡意軟體和物聯網漏洞無所不在,隨著線上設備數量的不斷增加,情況只會變得更糟。路由器是家中資料的焦點。然而,它沒有像其他設備那樣受到那麼多的安全關注。簡而言之,路由器並不像您想像的那麼安全。
看更多:
在 Windows 10 上建立備份和還原點(Restore Point)的說明
探索如何在Windows 10上建立和管理還原點,這是一項有效的系統保護功能,可以讓您快速還原系統至先前狀態。
在 Windows 10 中開啟裝置管理員的 15 種方法
您可以使用以下 15 種方法輕鬆在 Windows 10 中開啟<strong>裝置管理員</strong>,包括使用命令、捷徑和搜尋。
Windows「顯示桌面」的 10 種超快速方法
很多人不知道如何快速顯示桌面,只好將各個視窗一一最小化。這種方法對於用戶來說非常耗時且令人沮喪。因此,本文將向您介紹Windows中快速顯示桌面的十種超快速方法。
如何使用 Windows Repair 修復 Windows 錯誤
Windows Repair 是一款有效的 Windows 錯誤修復工具,幫助使用者修復與 Internet Explorer、Windows Update 和其他重要程式相關的錯誤。
如何在 Windows 10 中開啟資料夾選項或檔案總管選項
您可以使用檔案總管選項來變更檔案和資料夾的工作方式並控制顯示。掌握如何在 Windows 10 中開啟資料夾選項的多種方法。
有關在 Windows 10 上刪除使用者帳戶的 5 種方法的說明
刪除不使用的使用者帳戶可以顯著釋放記憶體空間,並讓您的電腦運行得更流暢。了解如何刪除 Windows 10 使用者帳戶的最佳方法。
如何使用Bootsect /nt60將VBC更新為BOOTMGR
使用 bootsect 命令能夠輕鬆修復磁碟區引導程式碼錯誤,確保系統正常啟動,避免 hal.dll 錯誤及其他啟動問題。
Windows 11 中的存檔應用程式功能是什麼?應該啟用還是停用它?
存檔應用程式是一項功能,可以自動卸載您很少使用的應用程序,同時保留其關聯的檔案和設定。了解如何有效利用 Windows 11 中的存檔應用程式功能。
如何在 Windows 10 上為 BlueStacks 5 啟用虛擬化 (VT)
要啟用虛擬化,您必須先進入 BIOS 並從 BIOS 設定中啟用虛擬化,這將顯著提升在 BlueStacks 5 上的效能和遊戲體驗。