VPNFilter

“VPNFilter”,一款的最新惡意軟體。目前正在全球蔓延,預估有54個國家遭入侵,受感染設備的數量至少為50萬台。

主要影響,危害階段,預防措施,

主要影響

分析結果顯示,VPNFilter破壞性較強,可通過燒壞用戶的設備來掩蓋蹤跡,比簡單地刪除惡意軟體痕跡更深入,利用VPNFilter 惡意軟體,攻擊者還可以達到多種其他目的,如監視網路流量並攔截敏感網路的憑證;窺探到SCADA 設備的網路流量,並部署針對ICS 基礎設施的專用惡意軟體;利用被感染設備組成的殭屍網路來隱藏其他惡意攻擊的來源;導致路由器癱瘓並使受攻擊的大部分網際網路基礎設施無法使用。
VPNFilter瞄準的設備類型為網路設備和存儲設備,一般很難防禦,這些設備經常出現在網路外圍,沒有入侵保護系統(IPS),也通常沒有可用的基於主機的防護系統,如反病毒(AV)包,而且大多數的類似目標設備,特別是運行舊版本的,都有公開的漏洞或默認口令,這使得攻擊相對簡單,至少從2016年起這種威脅增長很快。
目前受影響的設備,主要包括有小型和家庭辦公室(SOHO)中使用的Linksys、MikroTik、NETGEAR 和TP-Link 路由器以及QNAP 網路附加存儲(NAS)設備,尚未發現其他網路設備供應商受感染。

危害階段

VPNFilter屬於高度模組化的框架,允許快速更改操作目標設備,同時能為情報收集和尋找攻擊平台提供支撐。其實施攻擊的路徑主要分為三個階段。第1階段惡意軟體會通過重新啟動植入,該階段主要目的是獲得一個持久化存在的立足點,並使第2階段的惡意軟體得以部署。
第2階段惡意軟體擁有智慧型收集平台中所期望的功能,比如檔案收集、命令執行、數據過濾和設備管理,某些版本也具有自毀功能,覆蓋了設備固件的關鍵部分,並可重新引導設備,使其無法使用。
此外,還有多個階段3的模組作為第2階段惡意軟體的外掛程式,提供附加功能,當前思科Talos團隊已發現了兩個外掛程式模組:一個數據包嗅探器來收集通過該設備的流量,包括盜竊網站憑證和監控Modbus SCADA協定,以及允許第2階段與Tor通信的通信模組,據稱仍然有其他幾個外掛程式模組但當前還沒有發現。

預防措施

首先需要確保設備與補丁屬於最新版本,同時應該及時套用更新補丁,避免存在公開漏洞;另外,設備對外最小化開放連線埠服務,減少攻擊面;設備默認口令需要及時變更,同時滿足複雜度要求;Talos開發並部署了100多個Snort簽名,用於公開已知的與此威脅相關的設備的漏洞。這些規則已經部署在公共Snort集合中,可以使用這些規則來保護設備;對VPNFilter涉及的域名/ip地址做黑名單,並將其與該威脅關聯起來,進行檢測攔截防禦;路由器和NAS設備被感染,建議用戶恢復出廠默認值,升級最新版本打上最新補丁並重新啟動。

相關詞條

熱門詞條

聯絡我們