雷锋网消息,过去几个月里感染了全球 54 个国家超过 50 万台路由器和 NAS 设备的 VPNFilter 恶意软件恐怕还得再肆虐一段时间,它的破坏力可能比我们想象中还强。
思科 Talos 团队今天(6 月 7 日)发布了一份最新研究报告,透露了不少有关 VPNFilter 的技术细节。最初,业界普遍认为它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器,但事实上华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴等品牌的产品也难逃魔掌。
这样一来,受到波及的设备名单也大幅扩容,从 16 款直接暴增至 71 款,这一数字未来可能还会继续增长(文末附有完整的受影响设备名单)。
除此之外,研究人员还发现了 VPNFilter 的新大招,它包装在三级插件中,是该恶意软件三段式部署系统的一部分。
思科专家表示,他们发现了以下两个新的三级插件。
ssler—借助中间人攻击在端口 80 拦截和修改网络流量的插件。该插件还支持将 HTTPS 降级至 HTTP。
dstr—重写设备固件档案的插件。思科已经发现 VPNFilter 能抹掉设备固件,但在最新的报告中才在三级插件中定位到该功能。
除了这两个最新的,思科此前还发现了两个插件。
ps—能嗅探网络信息包并探测特定网络流量的插件。思科相信,这款插件是用来寻找 Modbus TCP/IP 信息包的,一般为工业软件和 SCADA 设备(监测控制和数据采集)所用。不过,最近的迹象显示,该插件还能搜寻连接在 TP-Link R600 虚拟专用网络上的工业设备。
tor—VPNFilter 机器人会利用该插件通过 tor 网络与指挥控制服务器通信。
关于 VPNFilter 的技术细节其实已经写入思科的第一份报告了,最新的插件则放在了今天发布的报告中。
雷锋网(公众号:雷锋网)了解到,其实此前研究人员就发现 VPNFilter 的僵尸网络感染了全世界的设备,但当他们发现该网络正在对乌克兰的 IT 基础设施发动攻击,才将该发现公之于众。许多人相信,黑客会在今年的欧冠决赛时发动攻击(在乌克兰基辅举行)。
还好,FBI 及时出手,通过控制那台指挥控制服务器打掉了这个僵尸网络。不过,VPNFilter 背后的势力可不弱,它们可能与俄罗斯军队有染。最近,该组织又开始新建另一个僵尸网络,目标还是感染乌克兰的网络。
下面是思科公布的最新名单,包含了被 VPNFilter 盯上的路由器和 NAS 设备。上个月思科就表示,VPNFilter 不会利用零日攻击来感染设备,这就意味着所有有漏洞的设备只要升级到最新固件,就能逃脱恶意软件的魔掌。
如果用户不能升级固件,或者干脆买个新路由器,也有清除恶意软件的方法。不过,想从受感染设备上清楚恶意软件可不容易,毕竟它只是恶意软件链上的一环,即使杀掉也能在路由器和 IoT 设备上完成持续重启。此外,即使感染了 VPNFilter,路由器也不会出现什么明显“症状”。因此,除非你会扫描路由器固件,要不被感染了恐怕你都不知道。所以,最好的办法还是经常检查更新并及时升级最新固件吧。
华硕设备:
RT-AC66U(新增)
RT-N10(新增)
RT-N10E(新增)
RT-N10U(新增)
RT-N56U(新增)
RT-N66U(新增)
D-Link 设备:
DES-1210-08P(新增)
DIR-300(新增)
DIR-300A(新增)
DSR-250N(新增)
DSR-500N(新增)
DSR-1000(新增)
DSR-1000N(新增)
华为设备:
HG8245(新增)
Linksys 设备:
E1200
E2500
E3000(新增)
E3200(新增)
E4200(新增)
RV082(新增)
WRVS4400N
Mikrotik 设备: (升级固件 6.38.5 即可修补漏洞)
CCR1009(新增)
CCR1016
CCR1036
CCR1072
CRS109(新增)
CRS112(新增)
CRS125(新增)
RB411(新增)
RB450(新增)
RB750(新增)
RB911(新增)
RB921(新增)
RB941(新增)
RB951(新增)
RB952(新增)
RB960(新增)
RB962(新增)
RB1100(新增)
RB1200(新增)
RB2011(新增)
RB3011(新增)
RB Groove(新增)
RB Omnitik(新增)
STX5(新增)
Netgear 设备:
DG834(新增)
DGN1000(新增)
DGN2200
DGN3500(新增)
FVS318N(新增)
MBRN3000(新增)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200(新增)
WNR4000(新增)
WNDR3700(新增)
WNDR4000(新增)
WNDR4300(新增)
WNDR4300-TN(新增)
UTM50(新增)
QNAP 设备:
TS251
TS439 Pro
其他运行 QTS 软件的 QNAP NAS 设备
TP-Link设备:
R600VPN
TL-WR741ND(新增)
TL-WR841N(新增)
Ubiquiti 设备:
NSM2(新增)
PBE M5(新增)
UPVEL 设备:
未知型号(新增)
中兴设备:
ZXHN H108N(新增)
雷锋网 Via.Bleeping Computer
雷锋网版权文章,未经授权禁止转载。详情见。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/113625.html