导语:阿里安全猎户座实验室针对VPNFilter恶意软件的防护建议。
近日,思科Talos团队公开了一个新的恶意软件及系统“VPNFilter”。
研究结果表明,VPNFilter是一个可扩展性强、有较好健壮性、高水平及非常危险的安全威胁,高度模块化的框架允许快速更改操作目标设备,同时为情报收集和寻找攻击平台提供支撑。VPNFilter破坏性较强,可以通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入,同时VPNFilter恶意软件的组件允许盗窃网站凭证和监控Modbus SCADA协议。如果需要的话,类似命令可大规模地执行,可能会导致成千上万的设备无法使用。
影响面广 危害巨大
由于Talos团队的观察都是远程,而不是在设备上的,很多情况下很难确定具体的版本号和模型。但根据研究结果,所有如下设备都有与VPNFilter恶意软件相关的公开漏洞及威胁。不过以下清单是不完整的,但随着研究的深入,其他设备可能也会受到影响。
· LINKSYS设备:E1200、E2500、WRVS4400N
· MIKROTIK 云核心路由器ROUTEROS版本:1016、1036、1072
· NETGEAR设备:DGN2200、R6400、R7000、R8000、WNR1000、WNR2000
· QNAP设备:TS251、TS439 Pro及其他运行QTS软件的QNAP NAS 存储设备。
· TP-LINK设备:R600VPN
阿里安全猎户座实验室:针对VPNFilter恶意软件的防护建议
由于受影响的设备大多数直接连接到互联网,攻击者和设备之间大多没有安全设备,大多数受影响的设备有公开漏洞,此外,大多数都没有内置反恶意软件功能,这些使得对于此类威胁防护比较困难。
阿里安全猎户座实验室针对VPNFilter恶意软件的防护建议:
1)确保您的设备与补丁版本是最新的,及时应用更新补丁,避免存在公开漏洞。
2)设备对外最小化开放端口服务,减少攻击面。
3)设备默认口令需要及时变更,同时满足复杂度要求。
4)Talos开发并部署了100多个Snort签名,用于公开已知的与此威胁相关的设备的漏洞。这些规则已经部署在公共Snort集合中,可以使用这些规则来保护设备。
5)对VPNFilter涉及的域名/ip地址做黑名单,并将其与该威胁关联起来,进行检测拦截防御。
6)路由器和NAS设备被感染,建议用户恢复出厂默认值,升级最新版本打上最新补丁并重新启动。
事件回溯
2018年5月8日,思科Talos团队观察到VPNFilter感染活动急剧增加,几乎所有新的受害者都在乌克兰。同时,BlackEnergy和VPNFilter之间有代码重叠。而且种种迹象表明攻击可能很快就会发生;另外,至5月17日,在乌克兰新的VPNFilter受害者再次大幅增加。据估计,至少有54个国家的感染设备数量至少达到50万。为尽快减少此恶意软件带来的危害,思科Talos团队与合作伙伴协商后,在尚未完成研究之前就公开了这些信息。
据悉,VPNFilter恶意软件瞄准的设备类型为网络设备和存储设备,一般很难防御。这些设备经常出现在网络外围,没有入侵保护系统(IPS),也通常没有可用的基于主机的防护系统,如反病毒(AV)包,而且大多数的类似目标设备,特别是运行旧版本的,都有公开的漏洞或默认口令。这使得攻击相对简单,至少从2016年起这种威胁增长得很快。
目前,受VPNFilter恶意软件影响的已知设备:Linksys、MikroTik、NETGEAR和TP-Link网络设备,一般在小型和家庭办公室(SOHO)空间,以及QNAP网络附加存储(NAS)设备。
解析VPNFilter恶意软件
VPNFilter恶意软件是一个分不同阶段而且模块化运行的攻击平台,支持多种功能,并可进行情报收集和破坏性网络攻击操作。
第1阶段恶意软件通过重新启动植入,这使得它有别于大多数其他恶意软件,因为恶意软件通常无法在设备重启后存活。第1阶段的主要目的是获得一个持久化存在的立足点,并使第2阶段的恶意软件得以部署。第1阶段利用多个控制命令和通道(C2)来发现当前阶段2部署服务器的IP地址,使这个恶意软件极其健壮,能够处理不可预测的C2基础结构变化。
第2阶段恶意软件拥有智能收集平台中所期望的功能,比如文件收集、命令执行、数据过滤和设备管理,某些版本也具有自毁功能,覆盖了设备固件的关键部分,并可重新引导设备,使其无法使用。
此外,还有多个阶段3的模块作为第二阶段恶意软件的插件,提供附加功能,当前思科Talos团队已发现了两个插件模块:一个数据包嗅探器来收集通过该设备的流量,包括盗窃网站凭证和监控Modbus SCADA协议,以及允许第二阶段与Tor通信的通信模块,据称仍然有其他几个插件模块但当前还没有发现。
其中:
1.VPNFilter恶意软件已知的C2域和IP
阶段1:
photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com
阶段2:
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.php
2.文件HASH值
阶段1:
50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
阶段2:
9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
阶段3:
f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719
文/阿里安全猎户座实验室