【防护措施】全新恶意软件VPNFilter控制全球至少50万台网络设备

背景

近日，有一款名为VPNFilter的恶意软件被发现感染了至少50万的网络设备，Talos团队在近几个月来一直在与各威胁情报厂商和执法机构合作，通过研究后发现，这款恶意软件十分先进，可能是由国家资助或与国家级别的攻击者发起的，是一种先进的模块化恶意软件系统（modular malware system）。 虽然目前研究还没有完全完成，但是公开的信息应该会有助于受影响的客户可以及时的采取防护措施。 值得一提的是，该恶意软件的代码与BlackEnergy恶意软件有相似的代码片段，BlackEnergy恶意软件曾经针对乌克兰设备发起过多次大规模攻击。 虽然还无法完全肯定，但VPNFilter作为一种潜在的破坏性恶意软件，利用特别的CC（Command & control）措施，正在以惊人的速度主动感染乌克兰主机。综合这些因素，现在虽然还没有完全分析完成，但公布目前的结果可以很好的帮助各方采取相应的防护措施。 

该恶意软件的破坏能力和影响规模都是值得注意的，在Talos 与其合作伙伴的统计下，全球至少54个国家/地区受影响，感染的设备数量至少为500,000。 受VPNFilter影响的已知设备有小型和家庭办公室（SOHO）空间中的Linksys，MikroTik，NETGEAR和TP-Link网络设备以及QNAP网络附加存储（NAS）设备。 目前没有其他供应商，包括思科（Cisco），被观察到被VPNFilter感染。 这种恶意软件在网络设备上的行为尤其令人关注，因为VPNFilter恶意软件的组件可以窃取网站证书并监控Modbus SCADA协议。 最后，恶意软件具有破坏性能力，可能导致受感染的设备无法使用，这可能会在个别受害者机器上触发或集体触发，因此有可能切断全球数十万受害者的互联网接入。 

另外，受该恶意软件攻击的设备很难进行防护。 因为它们经常位于网络的外围，没有入侵保护系统（IPS），并且通常没有可用的基于主机的保护系统，如防病毒（AV）软件。 目前研究人员还无法确认感染是如何进行的，但大多数设备，尤其是旧版本，都存在已知的公开的漏洞，这使得攻击者的攻击变得容易了很多也导致了自2016年以来这种威胁的悄然增长。

执行步骤

VPNFilter是一个多阶段的，模块化的，具有多种功能的，可支持情报收集和破坏性网络攻击操作的恶意软件。 

1

第1阶段恶意软件通过重新启动而持续存在，这与大多数其他针对物联网设备的恶意软件不同，因为恶意软件通常无法在设备重新启动后存活。 阶段1的主要目的是获得持久的立足点，并能够部署后续的恶意软件。阶段1利用多个冗余C&C（C2）机制来发现当前阶段部署服务器的IP地址，使得这种恶意软件非常强大并且能够处理不可预测的C2基础设施变化。

2

第2阶段的恶意软件不会在重新启动后持续存在，它拥有情报收集平台的功能，例如文件收集，命令执行，数据泄露和设备管理。 但是，阶段2的某些版本还具有自毁功能，可覆盖设备固件的关键部分并重新启动设备，使其无法使用。 目前经研究人员分析，该自毁功能很可能会被部署到所有受感染的设备上。 

此外，第2阶段的恶意软件还拥有多个插件作为后续的第3阶段模块 ，提供附加功能。截止目前，共有两个插件模块：用于收集通过设备的流量的数据包嗅探器，包括窃取网站证书和监视Modbus SCADA协议以及允许阶段2通过Tor进行通信的通信模块。 

观察到的恶意行为

在5月初，研究人员通过扫描观察到该威胁涉及全球。随后在端口23,80,2000和8080上进行TCP扫描受感染设备，这些端口表明了该恶意软件在扫描其他Mikrotik和QNAP NAS设备，针对100多个国家/地区。 这些受害者中的许多IP似乎很明确的表现其数据泄露的行为。 

最后，在5月8日，Talos团队观察到VPNFilter感染行为急剧增加。 几乎所有新的受害者都位于乌克兰。 还值得注意的是，大多数乌克兰感染共享了来自世界其他地方的独立第2阶段C2基础设施，IP 46.151.209 [。] 33。 在这一点上，研究人员意识到BlackEnergy和VPNFilter之间的代码重叠，根据之前乌克兰的攻击，这一轮攻击很可能即将发生。 在5月17日，乌克兰的受感染设备再次大幅增加，鉴于这些因素，Talos团队决定提前公开研究结果。

防护措施

由于受影响的设备的性质，针对此威胁进行防御非常困难。 他们中的大多数直接连接到互联网，他们和潜在的攻击者之间没有安全设备或服务。 由于大多数受影响的设备都具有已知的漏洞，这一事实进一步加剧了防护的难度。 另外，大多数设备没有内置的反恶意软件功能。 这使得该威胁非常难以抵消，拦截恶意软件，消除漏洞或阻止威胁的机会极其有限。 

尽管面临这些挑战，Talos团队针对与此威胁关联的设备公开已知的漏洞，开发并部署了超过100个Snort签名。 这些规则已经部署在公共Snort集中，任何人都可以使用这些规则来帮助保护他们的设备。 此外，恶意的域名/ IP已被列入黑名单。 Talos就该威胁与Linksys，Mikrotik，Netgear，TP-Link和QNAP进行了沟通。 

♦  SOHO路由器和/或NAS设备的用户将它们恢复出厂默认设置并重新启动，以消除潜在的破坏性阶段2和阶段3的恶意软件。

♦  提供SOHO路由器的互联网服务提供商代表客户重新启动路由器。

♦  如果您有任何已知或疑似受此威胁影响的设备，与制造商合作非常重要，以确保您的设备具有最新的修补程序版本。 如果不是，则应立即应用更新的修补程序。

♦  互联网服务提供商积极与他们的客户合作，以确保他们的设备升级更新到最新的固件/软件版本。

由于攻击者可能采取破坏性行动，因此建议大家谨慎对待所有SOHO或NAS设备并采取这些措施，无论设备是否已知受该恶意软件影响。 

结论

VPNFilter是一种广泛，强大，功能强大且危险的威胁, 其高度模块化的框架允许攻击者对其进行快速改变，提供情报收集和和其他服务。 

VPNFilter的破坏性能力值得关注。 攻击者利用受感染的用户设备来掩盖他们的踪迹，而不仅仅是删除恶意软件的痕迹，同时，攻击者可能随时运行“kill”命令，可能会导致成千上万的设备无法使用，导致全球数十万受害者无法访问互联网，或者在特定区域限制用户的网络使用。 

虽然对物联网设备的攻击并不是什么新鲜事，但这些设备正被国家级别的团队用于进行网络破坏，这加剧了各方厂商处理此问题的紧迫性。

即刻点击原文，了解技术细节

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP