快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

最新恶意软件VPNFilter事故归溯及解析

近日,思科Talos团队地下了一个新的恶意软件及体系“VPNFilter”。

研究效果表明,VPNFilter是一个可扩大性强、有较好茁壮性、高水平及无比惊险的安全威胁,高度模块化的框架允许快速更改操作目标设备,同时为情报网络以及寻觅攻击平台提供支撑。VPNFilter损坏性较强,可以通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入,同时VPNFilter恶意软件的组件允许盗窃网站凭据以及监控Modbus SCADA协定。要是需要的话,类似命令可大规模地执行,可能会导致成千上万的设备没法使用。

影响面广 风险巨大

由于Talos团队的观察都是遥程,而不是在设备上的,很多情形下很难确定详细的版本号以及模型。但根据研究效果,所有以下设备都有与VPNFilter恶意软件相干的地下漏洞及威胁。无非下列清单是不完备的,但随着研究的深入,其他设备可能也会受到影响。

LINKSYS设备:E1200、E2500、WRVS4400N

MIKROTIK云核心路由器ROUTEROS版本:101六、103六、1072

NETGEAR设备:DGN2200、R6400、R7000、R8000、WNR1000、WNR2000

QNAP设备:TS25一、TS439 Pro及其他运行QTS软件的QNAP NAS存储设备。

TP-LINK设备:R600VPN

针对VPNFilter恶意软件的防护建议

由于受影响的设备大多数直接连接到互联网,攻击者以及设备之间大多没有安全设备,大多数受影响的设备有地下漏洞,此外,大多数都没有内置反恶意软件功能,这些使得对于此类威胁防护比较难题。

阿里安全猎户座实验室针对VPNFilter恶意软件的防护建议:

1)确保您的设备与补丁版本是最新的,及时应用更新补丁,避免存在地下漏洞。

2)设备对外最小化开放端口服务,缩小攻击面。

3)设备默认口令需要及时变更,同时餍足复杂度请求。

4)Talos开发并部署了100多个Snort署名,用于地下已知的与此威胁相干的设备的漏洞。这些规则已经部署在公共Snort集合中,可以使用这些规则来维护设备。

5)对VPNFilter触及的域名/ip地址做黑名单,并将其与该威胁关联起来,进行检测拦截防御。

6)路由器以及NAS设备被感染,建议用户恢复出厂默认值,升级最新版本打上最新补丁并重新启动。

事故归溯

2018年5月8日,思科Talos团队观察到VPNFilter感染活动急剧增添,几乎所有新的受害者都在乌克兰。同时,BlackEnergy以及VPNFilter之间有代码重叠。而且各种迹象表明攻击可能很快就会发生;另外,至5月17日,在乌克兰新的VPNFilter受害者再次大幅增添。据估计,最少有54个国家的感染设备数量最少达到50万。为绝快缩小此恶意软件带来的风险,思科Talos团队与合作伙伴协商后,在还没有实现研究之前就地下了这些信息。

据悉,VPNFilter恶意软件瞄准的设备类型为收集设备以及存储设备,一般很难防御。这些设备经常出现在收集外围,没有入侵维护体系(IPS),也通常没有可用的基于主机的防护体系,如反病毒(AV)包,而且大多数的类似目标设备,特别是运行旧版本的,都有地下的漏洞或默认口令。这使得攻击相对于简单,最少从2016年起这类威胁增进得很快。

目前,受VPNFilter恶意软件影响的已知设备:Linksys、MikroTik、NETGEAR以及TP-Link收集设备,一般在小型以及家庭办公室(SOHO)空间,黑客技术,和QNAP收集附加存储(NAS)设备。

解析VPNFilter恶意软件

VPNFilter恶意软件是一个分不同阶段而且模块化运行的攻击平台,支持多种功能,并可进行情报网络以及损坏性收集攻击操作。

第1阶段恶意软件通过重新启动植入,这使得它有别于大多数其他恶意软件,因为恶意软件通常没法在设备重启后存活。第1阶段的首要目的是获得一个持久化存在的立足点,并使第2阶段的恶意软件得以部署。第1阶段行使多个控制命令以及通道(C2)来发现当前阶段2部署服务器的IP地址,使这个恶意软件极其茁壮,能够处理不可预测的C2基础结构变迁。

第2阶段恶意软件拥有智能网络平台中所指望的功能,譬如文件网络、命令执行、数据过滤以及设备治理,某些版本也具有自毁功能,笼盖了设备固件的症结部分,并可重新引导设备,使其没法使用。

此外,还有多个阶段3的模块作为第二阶段恶意软件的插件,提供附加功能,当前思科Talos团队已发现了两个插件模块:一个数据包嗅探器来网络通过该设备的流量,包括盗窃网站凭据以及监控Modbus SCADA协定,和允许第二阶段与Tor通讯的通讯模块,据称仍旧有其他几个插件模块但当前尚无发现。

image001.jpg

其中:

1.VPNFilter恶意软件已知的C2域以及IP

阶段1:

photobucket[.]com/user/nikkireed11/library

photobucket[.]com/user/kmila302/library

photobucket[.]com/user/lisabraun87/library

photobucket[.]com/user/eva_green1/library

photobucket[.]com/user/monicabelci4/library

photobucket[.]com/user/katyperry45/library

photobucket[.]com/user/saragray1/library

photobucket[.]com/user/millerfred/library

photobucket[.]com/user/jeniferaniston1/library

photobucket[.]com/user/amandaseyfried1/library

photobucket[.]com/user/suwe8/library

photobucket[.]com/user/bob7301/library

toknowall[.]com

阶段2:

91.121.109[.]209

217.12.202[.]40

94.242.222[.]68

82.118.242[.]124

46.151.209[.]33

217.79.179[.]14

91.214.203[.]144

95.211.198[.]231

195.154.180[.]60

5.149.250[.]54

91.200.13[.]76

94.185.80[.]82

62.210.180[.]229

zupvcyskd4gipkm[.]onion/bin32/update.php

2.文件HASH值

阶段1:

50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec

0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92

阶段2:

9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17

d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e

4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b

9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387

37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4

776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d

8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1

0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b

阶段3:

f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344

afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

*

您可能还会对下面的文章感兴趣: