导语:阿里安全猎户座实验室针对VPNFilter恶意软件的防护建议。

近日,思科Talos团队公开了一个新的恶意软件及系统“VPNFilter”。

研究结果表明,VPNFilter是一个可扩展性强、有较好健壮性、高水平及非常危险的安全威胁,高度模块化的框架允许快速更改操作目标设备,同时为情报收集和寻找攻击平台提供支撑。VPNFilter破坏性较强,可以通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入,同时VPNFilter恶意软件的组件允许盗窃网站凭证和监控Modbus SCADA协议。如果需要的话,类似命令可大规模地执行,可能会导致成千上万的设备无法使用。

影响面广 危害巨大

由于Talos团队的观察都是远程,而不是在设备上的,很多情况下很难确定具体的版本号和模型。但根据研究结果,所有如下设备都有与VPNFilter恶意软件相关的公开漏洞及威胁。不过以下清单是不完整的,但随着研究的深入,其他设备可能也会受到影响。

· LINKSYS设备:E1200、E2500、WRVS4400N

· MIKROTIK 云核心路由器ROUTEROS版本:1016、1036、1072

· NETGEAR设备:DGN2200、R6400、R7000、R8000、WNR1000、WNR2000

· QNAP设备:TS251、TS439 Pro及其他运行QTS软件的QNAP NAS 存储设备。

· TP-LINK设备:R600VPN

阿里安全猎户座实验室:针对VPNFilter恶意软件的防护建议

由于受影响的设备大多数直接连接到互联网,攻击者和设备之间大多没有安全设备,大多数受影响的设备有公开漏洞,此外,大多数都没有内置反恶意软件功能,这些使得对于此类威胁防护比较困难。

阿里安全猎户座实验室针对VPNFilter恶意软件的防护建议:

1)确保您的设备与补丁版本是最新的,及时应用更新补丁,避免存在公开漏洞。

2)设备对外最小化开放端口服务,减少攻击面。

3)设备默认口令需要及时变更,同时满足复杂度要求。

4)Talos开发并部署了100多个Snort签名,用于公开已知的与此威胁相关的设备的漏洞。这些规则已经部署在公共Snort集合中,可以使用这些规则来保护设备。

5)对VPNFilter涉及的域名/ip地址做黑名单,并将其与该威胁关联起来,进行检测拦截防御。

6)路由器和NAS设备被感染,建议用户恢复出厂默认值,升级最新版本打上最新补丁并重新启动。

事件回溯

2018年5月8日,思科Talos团队观察到VPNFilter感染活动急剧增加,几乎所有新的受害者都在乌克兰。同时,BlackEnergy和VPNFilter之间有代码重叠。而且种种迹象表明攻击可能很快就会发生;另外,至5月17日,在乌克兰新的VPNFilter受害者再次大幅增加。据估计,至少有54个国家的感染设备数量至少达到50万。为尽快减少此恶意软件带来的危害,思科Talos团队与合作伙伴协商后,在尚未完成研究之前就公开了这些信息。

据悉,VPNFilter恶意软件瞄准的设备类型为网络设备和存储设备,一般很难防御。这些设备经常出现在网络外围,没有入侵保护系统(IPS),也通常没有可用的基于主机的防护系统,如反病毒(AV)包,而且大多数的类似目标设备,特别是运行旧版本的,都有公开的漏洞或默认口令。这使得攻击相对简单,至少从2016年起这种威胁增长得很快。

目前,受VPNFilter恶意软件影响的已知设备:Linksys、MikroTik、NETGEAR和TP-Link网络设备,一般在小型和家庭办公室(SOHO)空间,以及QNAP网络附加存储(NAS)设备。

解析VPNFilter恶意软件

VPNFilter恶意软件是一个分不同阶段而且模块化运行的攻击平台,支持多种功能,并可进行情报收集和破坏性网络攻击操作。

第1阶段恶意软件通过重新启动植入,这使得它有别于大多数其他恶意软件,因为恶意软件通常无法在设备重启后存活。第1阶段的主要目的是获得一个持久化存在的立足点,并使第2阶段的恶意软件得以部署。第1阶段利用多个控制命令和通道(C2)来发现当前阶段2部署服务器的IP地址,使这个恶意软件极其健壮,能够处理不可预测的C2基础结构变化。

第2阶段恶意软件拥有智能收集平台中所期望的功能,比如文件收集、命令执行、数据过滤和设备管理,某些版本也具有自毁功能,覆盖了设备固件的关键部分,并可重新引导设备,使其无法使用。

此外,还有多个阶段3的模块作为第二阶段恶意软件的插件,提供附加功能,当前思科Talos团队已发现了两个插件模块:一个数据包嗅探器来收集通过该设备的流量,包括盗窃网站凭证和监控Modbus SCADA协议,以及允许第二阶段与Tor通信的通信模块,据称仍然有其他几个插件模块但当前还没有发现。

其中:

1.VPNFilter恶意软件已知的C2域和IP

阶段1:

photobucket[.]com/user/nikkireed11/library

photobucket[.]com/user/kmila302/library

photobucket[.]com/user/lisabraun87/library

photobucket[.]com/user/eva_green1/library

photobucket[.]com/user/monicabelci4/library

photobucket[.]com/user/katyperry45/library

photobucket[.]com/user/saragray1/library

photobucket[.]com/user/millerfred/library

photobucket[.]com/user/jeniferaniston1/library

photobucket[.]com/user/amandaseyfried1/library

photobucket[.]com/user/suwe8/library

photobucket[.]com/user/bob7301/library

toknowall[.]com

阶段2:

91.121.109[.]209

217.12.202[.]40

94.242.222[.]68

82.118.242[.]124

46.151.209[.]33

217.79.179[.]14

91.214.203[.]144

95.211.198[.]231

195.154.180[.]60

5.149.250[.]54

91.200.13[.]76

94.185.80[.]82

62.210.180[.]229

zuh3vcyskd4gipkm[.]onion/bin32/update.php

2.文件HASH值

阶段1:

50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec

0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92

阶段2:

9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17

d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e

4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b

9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387

37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4

776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d

8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1

0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b

阶段3:

f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344

afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

文/阿里安全猎户座实验室

源链接

Hacking more

...