路由器,网络设备和物联网恶意软件变得越来越普遍。大多数都专注于感染易受攻击的设备并将其添加到功能强大的僵尸网络中。路由器和物联网(IoT)设备始终处于开机状态,始终处于联机状态,并正在等待指示。那么,完美的僵尸网络饲料就可以了。
但并非所有恶意软件都是相同的。
VPNFilter是对路由器,IoT设备甚至某些网络连接存储(NAS)的破坏性恶意软件威胁。设备。您如何检查VPNFilter恶意软件感染?以及如何清理它?让我们仔细看一下VPNFilter。
什么是VPNFilter?
VPNFilter是一种复杂的模块化恶意软件变体,主要针对各种制造商的网络设备以及NAS设备。 。 VPNFilter最初在Linksys,MikroTik,NETGEAR和TP-Link网络设备以及QNAP NAS设备上发现,在54个国家/地区感染了约500,000个感染。
发现VPNFilter的团队Cisco Talos最近进行了更新有关该恶意软件的详细信息,表明华硕,D-Link,华为,Ubiquiti,UPVEL和ZTE等制造商的网络设备现在显示VPNFilter感染。但是,在撰写本文时,没有思科网络设备受到影响。
该恶意软件与大多数其他以IoT为中心的恶意软件不同,因为该恶意软件在系统重新启动后仍然存在,因此难以根除。使用默认登录凭据或已知的零日漏洞未收到固件更新的设备尤其容易受到攻击。
VPNFilter的作用是什么?
因此,VPNFilter是一种“多模块化平台",可能会对设备造成破坏性破坏。此外,它还可能成为数据收集威胁。 VPNFilter分多个阶段工作。
阶段1: VPNFilter阶段1在设备上建立了滩头堡,联系其命令和控制服务器(C&C)下载其他模块并等待指令。第一阶段还具有多个内置冗余,以在部署期间基础结构发生变化的情况下定位第二阶段C&C。第1阶段VPNFilter恶意软件也能够在重新启动后幸存下来,使其成为强大的威胁。
第2阶段: VPNFilter第2阶段不能通过重新启动而持续存在,但确实存在具有更广泛的功能。第2阶段可以收集私有数据,执行命令并干扰设备管理。此外,还有不同版本的Stage 2。某些版本配备了破坏性模块,该模块会覆盖设备固件的分区,然后重新启动以使设备不可用(恶意软件基本上破坏了路由器,IoT或NAS设备)。
阶段3: VPNFilter阶段3模块的工作方式类似于阶段2的插件,从而扩展了VPNFilter的功能。一个模块充当数据包嗅探器,它收集设备上的传入流量并窃取凭据。另一个允许Stage 2恶意软件使用Tor进行安全通信。思科Talos还发现了一个模块,该模块可以将恶意内容注入通过该设备的流量中,这意味着黑客可以通过路由器,IoT或NAS设备向其他连接的设备提供进一步的攻击。<
此外,VPNFilter模块“允许窃取网站凭据并监视Modbus SCADA协议。"
VPNFilter恶意软件的另一个有趣(但不是新发现)功能是其使用在线照片共享服务来查找IP地址的功能。 C&C服务器。 Talos分析发现,该恶意软件指向了一系列Photobucket URL。该恶意软件会下载URL引用的图库中的第一张图像,并提取隐藏在图像元数据中的服务器IP地址。
“ IP地址"是从EXIF信息中GPS纬度和经度的六个整数值中提取的如果失败,则第1阶段恶意软件会退回到常规域(toknowall.com-更多信息,请参见下文),以下载图像并尝试相同的过程。
更新后的Talos报告显示了一些深入了解VPNFilter数据包嗅探模块。它具有一组针对特定流量类型的相当严格的规则,而不仅仅是将所有内容都悬停在上面。具体来说,来自使用TP-Link R600 VPN进行连接的工业控制系统(SCADA)的流量,与预定义IP地址列表的连接(指示对其他网络的高级了解和所需的流量)以及150字节的数据包或更大。
Craig William, senior technology leader, and global outreach manager at Talos, told Ars, “They’re looking for very specific things. They’re not trying to gather as much traffic as they can. They’re after certain very small things like credentials and passwords. We don’t have a lot of intel on that other than it seems incredibly targeted and incredibly sophisticated. We’re still trying to figure out who they were using that on.”
VPNFilter来自何处?
VPNFilter被认为是国家资助的黑客组织的工作。最初在乌克兰各地普遍感觉到最初的VPNFilter感染激增,最初的手指指向俄罗斯支持的指纹和黑客组织Fancy Bear。
但是,这种恶意软件的复杂程度没有明确的起源,无论是国家级还是其他国家的黑客组织,都没有主动声明该恶意软件。鉴于详细的恶意软件规则以及针对SCADA和其他工业系统协议的目标,似乎很有可能是一个民族国家的参与者。
不管我怎么想,FBI都认为VPNFilter是“幻想熊"的创造。在2018年5月,FBI占领了一个域(ToKnowAll.com),该域被认为已用于安装和命令Stage 2和Stage 3 VPNFilter恶意软件。域名抢占无疑有助于阻止VPNFilter的即时传播,但并未切断主要动脉;乌克兰SBU在2018年7月对一家化学加工厂进行了一次VPNFilter攻击。
VPNFilter还与BlackEnergy恶意软件相似,BlackEnergy恶意软件是一种针对广泛的乌克兰目标使用的APT木马。再者,虽然这还远没有完整的证据,但是对乌克兰的系统性攻击主要源于与俄罗斯有联系的黑客组织。
我被VPNFilter感染了吗?
可能是,您的路由器是不包含VPNFilter恶意软件。但是,安全起来总比后悔好:
如果Symantec VPNFilter检查确认您的路由器已被感染,则可以采取明确的措施。
此外,您需要在连接到受感染路由器的每个设备上完成完整的系统扫描。
您应始终更改路由器的默认登录凭据以及任何其他物联网或NAS设备(物联网设备不能使此任务轻松完成,将有助于将许多其他讨厌的东西拒之门外。
当心路由器恶意软件!
路由器恶意软件物联网恶意软件和漏洞无处不在,并且随着设备数量的增加,情况只会变得更糟。他是您家中数据的焦点。
简单地说,您的路由器并不像您想象的那样安全。