宅客頻道消息,過去幾個月裡感染了全球 54 個國家超過 50 萬臺路由器和 NAS 設備的 VPNFilter 惡意軟件恐怕還得再肆虐一段時間,它的破壞力可能比我們想象中還強。
思科 Talos 團隊今天(6 月 7 日)發佈了一份最新研究報告,透露了不少有關 VPNFilter 的技術細節。最初,業界普遍認為它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器,但事實上華碩、D-Link、華為、Ubiquiti、UPVEL 和中興等品牌的產品也難逃魔掌。
這樣一來,受到波及的設備名單也大幅擴容,從 16 款直接暴增至 71 款,這一數字未來可能還會繼續增長(文末附有完整的受影響設備名單)。
除此之外,研究人員還發現了 VPNFilter 的新大招,它包裝在三級插件中,是該惡意軟件三段式部署系統的一部分。
思科專家表示,他們發現了以下兩個新的三級插件。
ssler—藉助中間人攻擊在端口 80 攔截和修改網絡流量的插件。該插件還支持將 HTTPS 降級至 HTTP。
dstr—重寫設備固件檔案的插件。思科已經發現 VPNFilter 能抹掉設備固件,但在最新的報告中才在三級插件中定位到該功能。
除了這兩個最新的,思科此前還發現了兩個插件。
ps—能嗅探網絡信息包並探測特定網絡流量的插件。思科相信,這款插件是用來尋找 Modbus TCP/IP 信息包的,一般為工業軟件和 SCADA 設備(監測控制和數據採集)所用。不過,最近的跡象顯示,該插件還能搜尋連接在 TP-Link R600 虛擬專用網絡上的工業設備。
tor—VPNFilter 機器人會利用該插件通過 tor 網絡與指揮控制服務器通信。
關於 VPNFilter 的技術細節其實已經寫入思科的第一份報告了,最新的插件則放在了今天發佈的報告中。
宅客頻道瞭解到,其實此前研究人員就發現 VPNFilter 的殭屍網絡感染了全世界的設備,但當他們發現該網絡正在對烏克蘭的 IT 基礎設施發動攻擊,才將該發現公之於眾。許多人相信,黑客會在今年的歐冠決賽時發動攻擊(在烏克蘭基輔舉行)。
還好,FBI 及時出手,通過控制那臺指揮控制服務器打掉了這個殭屍網絡。不過,VPNFilter 背後的勢力可不弱,它們可能與俄羅斯軍隊有染。最近,該組織又開始新建另一個殭屍網絡,目標還是感染烏克蘭的網絡。
下面是思科公佈的最新名單,包含了被 VPNFilter 盯上的路由器和 NAS 設備。上個月思科就表示,VPNFilter 不會利用零日攻擊來感染設備,這就意味著所有有漏洞的設備只要升級到最新固件,就能逃脫惡意軟件的魔掌。
如果用戶不能升級固件,或者乾脆買個新路由器,也有清除惡意軟件的方法。不過,想從受感染設備上清楚惡意軟件可不容易,畢竟它只是惡意軟件鏈上的一環,即使殺掉也能在路由器和 IoT 設備上完成持續重啟。 此外,即使感染了 VPNFilter,路由器也不會出現什麼明顯“症狀”。因此,除非你會掃描路由器固件,要不被感染了恐怕你都不知道。所以,最好的辦法還是經常檢查更新並及時升級最新固件吧。
華碩設備:
RT-AC66U(新增)
RT-N10(新增)
RT-N10E(新增)
RT-N10U(新增)
RT-N56U(新增)
RT-N66U(新增)
D-Link 設備:
DES-1210-08P(新增)
DIR-300(新增)
DIR-300A(新增)
DSR-250N(新增)
DSR-500N(新增)
DSR-1000(新增)
DSR-1000N(新增)
華為設備:
HG8245(新增)
Linksys 設備:
E1200
E2500
E3000(新增)
E3200(新增)
E4200(新增)
RV082(新增)
WRVS4400N
Mikrotik 設備: (升級固件 6.38.5 即可修補漏洞)
CCR1009(新增)
CCR1016
CCR1036
CCR1072
CRS109(新增)
CRS112(新增)
CRS125(新增)
RB411(新增)
RB450(新增)
RB750(新增)
RB911(新增)
RB921(新增)
RB941(新增)
RB951(新增)
RB952(新增)
RB960(新增)
RB962(新增)
RB1100(新增)
RB1200(新增)
RB2011(新增)
RB3011(新增)
RB Groove(新增)
RB Omnitik(新增)
STX5(新增)
Netgear 設備:
DG834(新增)
DGN1000(新增)
DGN2200
DGN3500(新增)
FVS318N(新增)
MBRN3000(新增)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200(新增)
WNR4000(新增)
WNDR3700(新增)
WNDR4000(新增)
WNDR4300(新增)
WNDR4300-TN(新增)
UTM50(新增)
QNAP 設備:
TS251
TS439 Pro
其他運行 QTS 軟件的 QNAP NAS 設備
TP-Link設備:
R600VPN
TL-WR741ND(新增)
TL-WR841N(新增)
Ubiquiti 設備:
NSM2(新增)
PBE M5(新增)
UPVEL 設備:
未知型號(新增)
中興設備:
ZXHN H108N(新增)
宅客頻道 Via.Bleeping Computer
閱讀更多 宅客 的文章
