记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

VPNFilter威胁升级,7个新模块被发现

2018-09-27 18:45

在VPNFilter中发现的七个新模块进一步填补了该恶意软件如何运作的空白,这些模块为恶意软件增加了重要功能,包括数据过滤功能。

在对第三阶段的7个新模块进行逆向工程分析后,思科Talos研究人员表示,该恶意软件包含其他功能—-包括网络映射功能,拒​​绝服务功能和流量混淆技术。其中还包括一种利用本地网络通过已感染设备访问的其他设备的方法。

研究人员在一份报告中说:“由于VPNFilter的复杂性,所有个人和组织都应该紧密追踪其框架。”

VPNFilter事件回溯

北京时间 5 月 23 日晚,思科公司发布安全预警称,俄罗斯黑客利用恶意软件,已感染几十个国家的至少50万台路由器和存储设备。攻击中使用了高级模块化恶意软件系统“VPNFilter”,这是思科 Talos 团队与多个部门以及执法机构一直追踪研究的恶意软件。尽管当时研究尚未完成,但思科决定提前公布结果,以便受害者及潜在受害者及时防御与响应。

研究结果表明,VPNFilter是一个可扩展性强、有较好健壮性、高水平及非常危险的安全威胁,高度模块化的框架允许快速更改操作目标设备,同时为情报收集和寻找攻击平台提供支撑。VPNFilter破坏性较强,可以通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入,同时VPNFilter恶意软件的组件允许盗窃网站凭证和监控Modbus SCADA协议。如果需要的话,类似命令可大规模地执行,可能会导致成千上万的设备无法使用。

就在思科发布报告后不久,美国联邦调查局称已经控制 VPNFilter 的一个关键域名,这个域名被用来与 VPNFilter 僵尸网络中的路由器和其他NAS设备进行通信。

两个月后(6月7日),思科 Talos 团队又发布了一份研究报告,透露了不少有关 VPNFilter 的技术细节。最初,业界普遍认为它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器,但事实上华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴等品牌的产品也难逃魔掌。除此之外,研究人员还发现了两个新的第三阶段模块。9月,研究人员又发现了7个第三阶段模块。

解析VPNFilter恶意软件

VPNFilter恶意软件是一个分不同阶段而且模块化运行的攻击平台,支持多种功能,并可进行情报收集和破坏性网络攻击操作。

第一阶段恶意软件通过重新启动植入,这使得它有别于大多数其他恶意软件,因为恶意软件通常无法在设备重启后存活。第一阶段的主要目的是获得一个持久化存在的立足点,并使第二阶段的恶意软件得以部署。第一阶段利用多个控制命令和通道(C2)来发现当前阶段二部署服务器的IP地址,使这个恶意软件极其健壮,能够处理不可预测的C2基础结构变化。

第二阶段恶意软件拥有智能收集平台中所期望的功能,比如文件收集、命令执行、数据过滤和设备管理,某些版本也具有自毁功能,覆盖了设备固件的关键部分,并可重新引导设备,使其无法使用。

6月,研究人员发现了几个“第三阶段”模块,这些模块充当VPNFilter第二阶段的插件,提供附加功能,其中包括:一个数据包嗅探器来收集通过该设备的流量,包括盗窃网站凭证和监控Modbus SCADA协议,以及允许第二阶段与Tor通信的通信模块。

自研究人员发现该恶意软件以来,它的破坏力越来越强。

新模块

这些模块在功能上各有不同,分别称为:“htpx”、“ndbr”、“nm”、“netfilter”、“portforwarding”、“socks5proxy”和“tcpvpn”。

“nm”模块为恶意软件增加了重要功能:它用于扫描和映射受感染设备本地网络上的其他设备。下载后,模块会向受感染的主机设置ICMP回应请求,然后通过端口扫描映射网络。

例如,它可以利用MikroTik网络发现协议(MNDP)来查明本地网络上的任何其他MikroTik设备—-如果MikroTik设备回复ping命令,该模块就会提取其MAC地址,系统标识,版本号,平台类型,以秒为单位的正常运行时间,RouterOS软件ID,RouterBoard模型和接口名称。

“htpx”是一个端点开发模块,支持可执行注入。该模块检查HTTP通信以及Windows可执行文件—-一旦检测到这些文件,模块就会标记它们。该模块可以被攻击者用来下载二进制有效载荷,并允许Windows可执行文件在通过受损设备时进行动态修补。

这个版本的VPNFilter还包含了一个名为“netfilter”的拒绝服务模块,研究人员推测这个模块可能被设计为拒绝访问特定形式的加密应用程序。研究人员在注意到他们分析的样本包含连接到加密应用程序的168个IP地址列表后得出了此结论,加密应用程序包括WhatsApp,腾讯(QQ聊天的所有者)和亚马逊(几个加密应用程序的所有者,如Wikr和Signal)。有趣的是,Telegram没有出现在该列表中。

恶意软件还包含几个棘手的模块,包括“ndbr”,这是一个可以用端口扫描其他IP的多功能SSH工具;“portfowarding”,可将网络流量转发到攻击者指定的基础架构;“tcpvpn”,它可以在受感染的设备上建立反向TCP VPN;以及“socks5proxy”,它可以在受感染的设备上建立SOCKS5代理。

未解决的问题

至于谁是VPNFilter恶意软件的幕后推手,Talos在5月表示,它认为极有可能是国家赞助的黑客或民族国家黑客。

有关VPNFilter的几个重要问题仍未解决:包括5月份发起第一次攻击时,黑客如何获得对受影响设备的初始访问权限的,以及恶意软件背后的黑客是否正在尝试重建其访问权限。

不管答案是什么,我们都知道VPNFilter的幕后黑手技术非常高,而且他们会以某种方式继续开发和使用该恶意软件来实现他们的目标。

防范措施

随着科技的发展,路由器已经从最初的功能设备变成了可扩展的智能系统设备,虽然在功能上提高了体验价值,但也大大的提高了路由被攻击利用的可能性,那么家用路由如何防止中毒呢?

1、选择知名度较高的大品牌路由设备,因为它们的技术会相对成熟,如果出现漏洞也会很快被修复。

2、不要为了体验某些功能而随意下载非官方的“路由插件”,大家都知道智能路由可以通过第三方插件来扩展功能,但如果一不小心下载到恶意插件那就得不偿失。

3、不要随意刷第三方ROM,目前很多路由器都可根据自己需要刷入第三方ROM,这些第三方修改的系统不一定保证安全,所以建议不要随意尝试。

4、定期恢复出厂设置,修改密码,保证路由器不被蹭网的同时也保证路由器的安全。

知识来源: www.mottoin.com/tech/114372.html

阅读:29014 | 评论:0 | 标签:技术控

想收藏或者和大家分享这篇好文章→复制链接地址

“VPNFilter威胁升级,7个新模块被发现”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词