思科公司6月6日发布了对VPNFilter的进一步分析报告,VPNFilter的危险程度远超它爆发之初时人们的预想。
前情回顾:2018年5月8日,思科Talos团队公开了一个新的恶意软件及系统“VPNFilter”。研究结果表明,VPNFilter是一个可扩展性强、高水平及非常危险的安全威胁,高度模块化的框架允许快速更改操作目标设备,同时为情报收集和寻找攻击平台提供支撑。VPNFilter破坏性较强,可以通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入,同时VPNFilter恶意软件的组件允许盗窃网站凭证和监控Modbus
SCADA协议。如果需要的话,类似命令可大规模地执行,可能会导致成千上万的设备无法使用。至5月底,据不完全统计,至少有54个国家的50万台设备发生感染。
此次研究显示,除了之前发现Linksys、MikroTik、Netgear、TP-Link和QNAP外,VPNFilter的目标设备还包括华硕,D-Link,华为,Ubiquiti,UPVEL和中兴的产品。
安全专家还发现了第三阶段的两个模块:ssler和dstr。ssler模块能够泄露数据,并将恶意Java script 注入到从网络设备截获的网络流量中;dstr能创建了一个中间人(MITM)场景,允许攻击者潜在地攻击连接到网络的终端。
VPNFilter恶意软件通过在内核中执行多个恶意命令来劫持发往端口80的流量,并将其重定向到其自己的监听服务端口8888,这是一种每四分钟执行一次以建立持久性的技术。然后该流量的内容可能会在发送给合法HTTP服务之前被盗取或修改。此外,为了定位HTTPS请求,ssler模块还执行“sslstripped”攻击,即将HTTPS连接降级为HTTP,迫使受害者Web浏览器通过纯文本HTTP进行通信。从而允许攻击者以纯文本形式查看传输的内容并收集任何凭证或其他敏感数据。
VPNFilter的dstr模块还具有破坏性功能,可用于通过删除正常设备操作所需的文件来使受感染设备无法使用。在删除系统上的其他文件[命名为vpnfilter,security和tor]之前,恶意软件会触发路由器的杀戮开关,首先故意“杀死”自己,试图在取证分析期间隐藏其存在。这种能力可以在个别受害者机器上触发或集体触发,从而可能切断全球数十万受害者的互联网接入。
思科因此发出警告:我们确认VPNFilter的威胁影响超出了它在网络设备本身的作用范围,事实上它可以将破坏扩展到受损网络设备支持的网络中。如果成功扩展,VPNFilter将能够在所处环境中部署任何期望的额外功能,以支持他们的目标,包括rootkit,渗出功能和破坏性恶意软件。
VPNFilter的攻击目标范围主要在乌克兰,但全球范围内感染设备的数量现在仍在增加。专家建议用户应及时将网络设备系统升级至最新版本,更新网络设备应用补丁;一旦发现路由器感染后却无法重置更新,应尽早弃旧换新。
网友评论