你可能已經看到美國聯邦調查局警告家庭用戶關於路由器和NAS遭受新一波網路攻擊的報導。下面會簡單介紹發生了什麼事,以及你該如何保持家用IT系統的安全。
什麼是VPNFilter?
這是全球家庭用戶所面臨的新惡意威脅名稱。至少有50萬台家庭及SOHO所會使用的小型路由器和NAS設備遭受惡意軟體感染。美國司法部認為罪魁禍首是俄羅斯網路犯罪集團APT28或“Fancy Bear”,而且跟克里姆林宮有關。
目前尚不清楚這惡意軟體為何突然散播開來,但它具備了多種功能。VPNFilter可以:
- 監控你的網路流量並竊取敏感資料(如網站密碼)
- 透過自毀指令讓設備完全無法使用
- 利用你的設備來對其他目標進行攻擊
我被攻擊了嗎?
不幸的是,很難判斷設備是否已經遭受感染,因為惡意軟體會進行多階段的秘密動作。會遭受此次攻擊影響的設備包括但不限於:
- Linksys:E1200、E2500、WRVS4400N
- Mikrotik:1016、1036、1072
- Netgear:DGN2200、R6400、R7000、R8000、WNR1000、WNR2000
- QNAP:TS251、S439 Pro以及其他使用QTS軟體的QNAP NAS設備
- TP-Link:R600VPN
該如何保持網路安全?
目前還不清楚駭客是如何攻擊這50萬台網路設備,但所提到型號都包含了公開已知的軟體漏洞或是有預設密碼,這些都讓它們容易遭受攻擊。
因此,最好遵循FBI的建議並重新啟動你的路由器。更好的做法是遵循Cisco的建議並進行重置。詳細說明如下:
- 重置/回復出廠設定。通常可以使用迴紋針或類似東西來按壓標為“reset(重置)”的凹陷按鈕五到十秒鐘來完成此動作。請注意,所有做過的設定都會不見。
- 重新啟動設備。(重置應該會自動重新啟動。如果只重新啟動而不重置,至少可以暫時中斷惡意軟體運作,並且可以幫助調查人員識別受感染設備)。
- 因為原本做過的設定都會消失,你可以用預設帳號密碼來透過瀏覽器登入設備管理頁面。(請從路由器/NAS廠商方面取得主控台網址和預設帳號密碼。通常也可以從快速啟動卡或使用者說明內的設定步驟取得)。
- 如果可以的話請變更出廠預設的管理員名稱,並且絕對要將預設密碼變更為你能夠記得的強密碼。或利用密碼管理器產生密碼並儲存在密碼管理器中(只要變更密碼後登出再登入)。
- 如果有新的韌體就請記得安裝並重新啟動。(廠商可能會自動進行升級,不過還是要再確認一次,請連到管理頁面並進入軟體/韌體選項。通常會通知你是否有可用的韌體更新;你只需要按下確認鈕。如果沒有,那麼你的廠商必須負責提供韌體更新。)
- 確保路由器停用遠端管理功能。(這功能通常是預設停用,如果沒有就請手動停用)。這有助於防止駭客透過路由器遠端進入你的網路。
趨勢科技會持續監控此威脅,敬請期待之後更多關於如何保持網路安全的深入見解和更新資訊。關於此威脅的最新技術資訊,請參考趨勢科技安全新聞的「重新啟動你的路由器」或ArsTechnica的文章。
@原文出處:FBI Router Reboot Warning: How Do I Stay Safe from the New VPNFilter Malware?