VPNFilter【VPNFilter】“VPNFilter”,一款的最新恶意软体 。目前正在全球蔓延,预估有54个国家遭入侵,受感染设备的数量至少为50万台 。
主要影响分析结果显示,VPNFilter破坏性较强,可通过烧坏用户的设备来掩盖蹤迹,比简单地删除恶意软体痕迹更深入,利用VPNFilter 恶意软体,攻击者还可以达到多种其他目的,如监视网路流量并拦截敏感网路的凭证;窥探到SCADA 设备的网路流量,并部署针对ICS 基础设施的专用恶意软体;利用被感染设备组成的殭尸网路来隐藏其他恶意攻击的来源;导致路由器瘫痪并使受攻击的大部分网际网路基础设施无法使用 。VPNFilter瞄準的设备类型为网路设备和存储设备,一般很难防御,这些设备经常出现在网路外围,没有入侵保护系统(IPS),也通常没有可用的基于主机的防护系统,如反病毒(AV)包,而且大多数的类似目标设备,特别是运行旧版本的,都有公开的漏洞或默认口令,这使得攻击相对简单,至少从2016年起这种威胁增长很快 。目前受影响的设备,主要包括有小型和家庭办公室(SOHO)中使用的Linksys、MikroTik、NETGEAR 和TP-Link 路由器以及QNAP 网路附加存储(NAS)设备,尚未发现其他网路设备供应商受感染 。危害阶段VPNFilter属于高度模组化的框架,允许快速更改操作目标设备,同时能为情报收集和寻找攻击平台提供支撑 。其实施攻击的路径主要分为三个阶段 。第1阶段恶意软体会通过重新启动植入,该阶段主要目的是获得一个持久化存在的立足点,并使第2阶段的恶意软体得以部署 。第2阶段恶意软体拥有智慧型收集平台中所期望的功能,比如档案收集、命令执行、数据过滤和设备管理,某些版本也具有自毁功能,覆盖了设备固件的关键部分,并可重新引导设备,使其无法使用 。此外,还有多个阶段3的模组作为第2阶段恶意软体的外挂程式,提供附加功能,当前思科Talos团队已发现了两个外挂程式模组:一个数据包嗅探器来收集通过该设备的流量,包括盗窃网站凭证和监控Modbus SCADA协定,以及允许第2阶段与Tor通信的通信模组,据称仍然有其他几个外挂程式模组但当前还没有发现 。预防措施首先需要确保设备与补丁属于最新版本,同时应该及时套用更新补丁,避免存在公开漏洞;另外,设备对外最小化开放连线埠服务,减少攻击面;设备默认口令需要及时变更,同时满足複杂度要求;Talos开发并部署了100多个Snort签名,用于公开已知的与此威胁相关的设备的漏洞 。这些规则已经部署在公共Snort集合中,可以使用这些规则来保护设备;对VPNFilter涉及的域名/ip地址做黑名单,并将其与该威胁关联起来,进行检测拦截防御;路由器和NAS设备被感染,建议用户恢复出厂默认值,升级最新版本打上最新补丁并重新启动 。