VPNFilter

分析結果顯示，VPNFilter破壞性較強，可通過燒壞用戶的設備來掩蓋蹤跡，比簡單地刪除惡意軟體痕跡更深入，利用VPNFilter 惡意軟體，攻擊者還可以達到多種其他目的，如監視網路流量並攔截敏感網路的憑證;窺探到SCADA 設備的網路流量，並部署針對ICS 基礎設施的專用惡意軟體;利用被感染設備組成的殭屍網路來隱藏其他惡意攻擊的來源;導致路由器癱瘓並使受攻擊的大部分網際網路基礎設施無法使用。

VPNFilter瞄準的設備類型為網路設備和存儲設備，一般很難防禦，這些設備經常出現在網路外圍，沒有入侵保護系統(IPS)，也通常沒有可用的基於主機的防護系統，如反病毒(AV)包，而且大多數的類似目標設備，特別是運行舊版本的，都有公開的漏洞或默認口令，這使得攻擊相對簡單，至少從2016年起這種威脅增長很快。

目前受影響的設備，主要包括有小型和家庭辦公室(SOHO)中使用的Linksys、MikroTik、NETGEAR 和TP-Link 路由器以及QNAP 網路附加存儲(NAS)設備，尚未發現其他網路設備供應商受感染。

VPNFilter屬於高度模組化的框架，允許快速更改操作目標設備，同時能為情報收集和尋找攻擊平台提供支撐。其實施攻擊的路徑主要分為三個階段。第1階段惡意軟體會通過重新啟動植入，該階段主要目的是獲得一個持久化存在的立足點，並使第2階段的惡意軟體得以部署。

第2階段惡意軟體擁有智慧型收集平台中所期望的功能，比如檔案收集、命令執行、數據過濾和設備管理，某些版本也具有自毀功能，覆蓋了設備固件的關鍵部分，並可重新引導設備，使其無法使用。

此外，還有多個階段3的模組作為第2階段惡意軟體的外掛程式，提供附加功能，當前思科Talos團隊已發現了兩個外掛程式模組:一個數據包嗅探器來收集通過該設備的流量，包括盜竊網站憑證和監控Modbus SCADA協定，以及允許第2階段與Tor通信的通信模組，據稱仍然有其他幾個外掛程式模組但當前還沒有發現。

首先需要確保設備與補丁屬於最新版本，同時應該及時套用更新補丁，避免存在公開漏洞;另外，設備對外最小化開放連線埠服務，減少攻擊面;設備默認口令需要及時變更，同時滿足複雜度要求;Talos開發並部署了100多個Snort簽名，用於公開已知的與此威脅相關的設備的漏洞。這些規則已經部署在公共Snort集合中，可以使用這些規則來保護設備;對VPNFilter涉及的域名/ip地址做黑名單，並將其與該威脅關聯起來，進行檢測攔截防禦;路由器和NAS設備被感染，建議用戶恢復出廠默認值，升級最新版本打上最新補丁並重新啟動。