freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

更新 | FBI控制感染几十个国家 50 万台路由器和存储设备的VPNFilter,确认攻击者为APT28
2018-05-24 11:00:21

05.25 更新:

就在思科发布报告后不久,美国联邦调查局称已经控制 VPNFilter 的一个关键域名,这个域名被用来与 VPNFilter 僵尸网络中的路由器和其他NAS设备进行通信。相关法庭文件显示,攻击与俄罗斯政府支持的黑客组织 Fancy Bear 有关, Fancy Bear 又称作 APT 28 、Sofacy 等,指 2007 年开始活跃,曾发起过多次攻击,是一个臭名昭著的黑客组织。

北京时间 5 月 23 日晚,思科公司发布安全预警称,俄罗斯黑客利用恶意软件,已感染几十个国家的至少50万台路由器和存储设备。攻击中使用了高级模块化恶意软件系统“VPNFilter”,这是思科 Talos 团队与多个部门以及执法机构一直追踪研究的恶意软件。尽管目前研究尚未完成,但思科决定提前公布结果,以便受害者及潜在受害者及时防御与响应。

5b0579a08b64a-550x309.jpg

结合该恶意软件近期的活动,Talos 团队认为俄罗斯是此次攻击的幕后主谋,因为“VPNFilter”恶意软件的代码与 BlackEnergy 恶意软件的代码相同,而 BlackEnergy 曾多次对乌克兰发起大规模攻击。思科发布的分析报告表明,VPNFilter 利用各国的命令和控制(C2)基础设施,以惊人的速度主动感染乌克兰境内及多个国家主机。预估至少有 54 个国家遭入侵,受感染设备的数量至少为 50 万台。受影响的设备主要有小型和家庭办公室(SOHO)中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 网络附加存储(NAS)设备。暂时尚未发现其他网络设备供应商受感染。

受感染的设备详情:

Linksys E1200

Linksys E2500

Linksys WRVS4400N

云核心路由器中的 Mikrotik RouterOS:1016、1036 和 1072 版本

NETGEAR DGN2200

NETGEAR R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

NETGEAR WNR2000

QNAP TS251

QNAP TS439 Pro

其他运行 QTS 软件的 QNAP NAS 设备

TP-Link R600VPN

简要技术分析

VPNFilter 恶意软件是一个模块化平台,具有多种功能,支持情报收集并可破坏网络,主要分为三个阶段发起攻击。

与其他针对物联网设备的恶意软件不同,第 1 阶段的恶意软件在设备重新启动后依然存在。阶段 1 的主要目的是获得持久的立足点,并部署第 2 阶段的恶意软件。阶段 1 利用多个冗余命令和 C2 机制去寻找阶段 2 部署服务器的 IP 地址。第 2 阶段的恶意软件主要用于情报收集(文件收集、命令执行、数据泄露和设备管理等)。这一阶段部分版本可以自动损毁,覆盖设备固件的关键部分并重新启动设备,导致设备无法使用。第二阶段的模块主要是支持第 3 阶段的插件,第 3 阶段插件可以监听网络数据包并拦截流量;监视 Modbus SCADA 协议并通过 Tor 网络与 C&C 服务器通信。

利用 VPNFilter 恶意软件,攻击者可以达到多种目的:

监视网络流量并拦截敏感网络的凭证;

窥探到 SCADA 设备的网络流量,并部署针对 ICS 基础设施的专用恶意软件;

利用被感染设备组成的僵尸网络来隐藏其他恶意攻击的来源;

导致路由器瘫痪并使乌克兰的大部分互联网基础设施无法使用

VPNFilter-malware.jpg

此次攻击的目标设备大多位于网络周界,无法利用入侵保护系统(IPS)或 AV 软件包等有效的基于主机的防护系统进行保护。目前还不清楚恶意软件利用了哪些漏洞,不过可以确定的是被入侵的设备大多都比较旧,存在已经公开的漏洞或可被利用的证书,因此攻击者很容易利用漏洞进行入侵。

攻击疑似瞄准乌克兰

去年,在乌克兰宪法日前夕,NotPetya 攻击席卷全球,最后被美国定性为来自俄罗斯的攻击。Talos 团队认为,此次攻击中,乌克兰境内路由器和存储设备受损严重,这可能预示着俄罗斯正在为新一轮网络攻击做准备。因为欧洲冠军联赛将于本周六(5月26日)在乌克兰首都基辅开战,且再过几个星期(6月27日),乌克兰将要庆祝其宪法日,这是绝佳的攻击时机。

Talos 团队在报告中对 “VPNFilter”进行了详细的技术分析、探讨了幕后攻击者的策略,同时也给出了一些防御和响应对策:

1. 如果已经感染恶意软件,那么将路由器恢复出厂默认设置,以便删除可能具有破坏性的恶意软件,并尽快更新设备的固件;

2. 对智能物联网设备的安全性保持警惕。为防止遭受这种恶意软件攻击,最好更改设备的默认凭证;

3. 如果路由器易受攻击且无法更新,最好直接丢弃并购买新的路由器,因为个人安全和隐私不比路由器贵重得多;

4. 注意为路由器设置防火墙,关闭远程管理功能。

报告详情可点击此处查看。

*参考来源:Talos 博客,AngelaY 编译整理,转载请注明来自 FreeBuf.COM

# 路由器 # 思科 # VPNFilter
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者