思科研究人员在一份咨询报告中称, VPNFilter作为模块化,多阶段恶意软件被称为“由Linksys,MikroTik,Netgear,TP-Link制造的消费级路由器以及QNAP的网络连接存储设备。它是能够在重新启动后存活的少数互联网恶意软件之一。自至少2016年以来,至少54个国家的感染状况一直在缓慢增长,思科的研究人员已经监测了数月时间。在过去的三周里,这些攻击大幅增加,其中包括对位于乌克兰的设备的两起重大攻击。如此高峰加上恶意软件的高级功能,从而促使思科在研究完成之前发布周三的报告。
思科研究员William Largent写道:“这种恶意软件可用于满足威胁行为者的多种运营需求。” “由于受影响的设备由企业或个人合法拥有,因此受感染设备进行的恶意活动可能被错误地归因于实际上的受害者。内置于恶意软件各个阶段和插件的功能非常灵活,可让以多种方式利用设备。“
VPNFilter附带的嗅探器收集登录证书以及可行监控和数据采集流量。恶意软件还可以让攻击者通过将设备用作连接最终目标的点来混淆自己。研究人员还表示,他们发现证据表明,至少有一些恶意软件包括永久禁用该设备的命令,这种功能可以让攻击者禁止全球数十万人或重点地区的互联网访问,具体取决于特别的目标。
思科的报告称,在大多数情况下,大多数受害者无法恢复这种行为,需要技术能力,专有技术或工具,因此期望消费者谨慎对待。
思科的报告是在美国国土安全部,联邦调查局和英国国家网络安全中心共同警告称,代表俄罗斯政府工作的黑客正在危及大量属于政府的路由器,交换机和其他网络设备,企业和关键基础设施提供商。思科的报告没有明确说出俄罗斯的名字,但它确实表示VPNFilter包含一个涉及RC4加密密码的破碎功能,与被称为BlackEnergy的恶意软件中的加密密码相同。BlackEnergy已被用于与俄罗斯政府有关的各种攻击,其中包括2016年12月发生的一起袭击导致乌克兰停电。然而,BlackEnergy被认为已被其他攻击组织重新利用,因此它自身的代码重叠并不能证明VPNFilter是由俄罗斯政府开发的。毫无疑问,开发VPNFilter的人是一个高级组织。初阶段感染运行基于Busybox和Linux的固件的设备,并针对多种CPU架构进行编译。主要目的是在互联网上定位攻击者控制的服务器,以接收更全面的第二阶段。一阶段通过下载图像并从存储在EXIF字段中的用于GPS纬度和经度的六个整数值中提取IP地址来定位服务器。如果Photobucket下载失败,阶段将尝试从toknowall下载图像。
如果失败,一阶段将打开一个“侦听器”,等待来自攻击者的特定触发数据包。监听器从api.ipify [。] org中检查其公共IP并将其存储以供以后使用。即使在受感染的设备重新启动后,这个阶段仍然存在。
思科研究人员将第二阶段描述为一个执行文件收集,命令执行,数据泄露和设备管理的“主力情报收集平台”。阶段2的某些版本也具有自毁功能,其通过覆盖设备固件的关键部分然后重新启动而工作,该过程使设备不可用。思科研究人员认为,即使没有内置的kill命令,攻击者也可以使用二阶段手动销毁设备。
第三阶段至少包含两个插件模块。一种是用于收集通过设备的流量的数据包嗅探器。拦截的流量包括网站凭证和Modbus SCADA协议。第二个模块允许第二阶段通过Tor隐私服务进行通信。周三的报告称,思科研究人员认为第三阶段包含尚未发现的其他插件。
本周三的报告涉及到,因为路由器和NAS设备通常没有防病毒或防火墙保护,并直接连接到互联网。尽管研究人员仍然不清楚设备是如何受到感染的,但几乎所有受攻击的设备都知道公开漏洞或默认证书,这些证据使得妥协易于理解。防病毒软件供应商赛门铁克星期三发布了自己的建议,确定目标设备为:
Linksys E1200Linksys E2500Linksys WRVS4400N适用于云核心路由器的Mikrotik RouterOS:版本1016,1036和1072NETGEAR DGN2200NETGEAR R6400Netgear R7000Netgear R8000美国网件WNR1000NETGEAR WNR2000QNAP TS251QNAP TS439 Pro其他运行QTS软件的QNAP NAS设备TP-Link R600VPN思科和赛门铁克都建议任何这些设备的用户进行出厂重置,这一过程通常需要按住背后的按钮5到10秒。不幸的是,这些重置会擦除存储在设备中的所有配置设置,因此一旦设备重新启动,用户将不得不重新输入设置。赛门铁克表示,至少这些设备的用户应该重新启动设备。这将停止二阶段和三运行,至少在一阶段设法重新安装它们。
用户还应该更改所有默认密码,确保其设备正在运行最新的固件,并且尽可能禁用远程管理。过去几个小时,Netgear的官员开始建议用户使用“某些”路由器模型来关闭远程管理。与此同时,TP-Link人员表示他们正在调查思科的调查结果。
有没有简单的方法来确定路由器是否已被感染。目前还不清楚运行最新的固件和更改默认密码是否可以防止所有情况下的感染。思科和赛门铁克表示,攻击者正在利用已知的漏洞,但鉴于物联网固件的一般质量,攻击者也可能利用zeroday缺陷,根据定义设备制造商尚未解决这些缺陷。
这意味着,出于上述设备的用户应该尽可能快地进行出厂重置,或者至少应该重新启动。然后人们应该向制造商咨询意见。对于更高级的用户,思科报告提供了详细的危害指示和可以检测漏洞的防火墙规则。
思科研究人员敦促消费者和企业认真对待VPNFilter的威胁。“虽然对物联网设备的威胁并不是什么新鲜事,但这些设备被用于进行网络操作,这可能会导致设备遭到破坏,为处理这一问题的紧迫性问题,呼吁大家积极应对这一威胁。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
