資安研究人員發表了一份報告,指出駭客利用惡意軟體 VPNFilter 感染至少54個國家,超過50萬台家用和小型企業路由器。這惡意軟體可以操縱受感染路由器進行攻擊、收集資料和進行通訊、竊取重要憑證、監視資料採集與監控系統(SCADA)協定,並且會安裝自殺指令來讓受感染設備無法使用。這些動作可以被單獨觸發或集中觸發。這波攻擊從2016年就已經開始,但在最近幾週突然大量增加,尤其是在烏克蘭。
根據研究人員對VPNFilter的觀察,這是種很複雜的模組化、多階段惡意軟體,會影響到商用路由器和NAS設備,並且分成三個階段進行散播和感染。
第一階段進行散播,目標設備是使用Busybox和Linux韌體的多種CPU架構。接著到Photobucket.com下載圖檔來取得IP地址以找到第二階段的伺服器。它的命令和控制(C&C)還有備用機制,像是如果Photobucket無法連上就會從ToKnowAll.com下載。它還會接收來自攻擊者的指令,從api.ipify.org檢查IP並儲存下來備用。在此階段就算是重新啟動設備,核心惡意程式碼也仍然存在於受感染系統中。
第二階段進行情報收集,如收集檔案、執行命令、管理設備和資料取出。它還部署了自毀能力。它能夠評估受感染設備的網路價值,特別是關於駭客感興趣的系統。駭客接著可以決定是否要利用此網路繼續收集資料,或利用系統的網路連線來進行散播。此階段的自毀功能會覆寫設備的重要部分再進行重啟,一旦攻擊者觸發內建的自殺指令就會破壞韌體,讓設備無法回復。
第三階段包含做為第二階段外掛程式的模組。有一個封包側錄程式可以用來收集資料和攔截流量,如竊取網站憑證和監視Modbus SCADA協定,另一個外掛程式可以用來自動化對ToR的通訊。其他在此階段所觀察到的外掛程式還沒能確認。
研究人員判斷此惡意軟體的龐大基礎架構能夠滿足攻擊者的多種操作需求,特別是利用大量的混淆技術來掩蓋其真實來源。這意味著合法企業和個人也可能被誤認為是駭客集團成員或惡意軟體來源。先進的駭客集團(如國家等級)也能夠達到這樣的複雜性和多功能性。
程式碼跟BlackEnergy和Fancy Bear有重複之處。但研究人員也強調他們無法確認其來源,因為BlackEnergy和Fancy Bear的程式碼都已經在地下世界公開,其他駭客也可能使用。
[延伸閱讀:Pawn Storm更新:新目標和具有政治動機的攻擊活動]
FBI自2017年8月以來就一直在調查這起感染活動。在當時,惡意軟體感染了匹茲堡民眾的家用路由器。當局使用網路分流器來觀察從受害者路由器離開的網路流量,從而能夠知道惡意軟體進行到第二、三階段的運作模式。同時,研究人員也從2016年以來就一直在追蹤惡意軟體對100多個國家/地區不同設備端口的掃描活動。在2018年5月初看到針對烏克蘭路由器的感染活動急劇上升促使研究人員和當局採取行動,因為感染活動增加可能代表駭客即將發動總攻。聯邦調查局採取行動去獲得授權來從Verisign手中得到ToKnowAll.org網域名稱,阻止了可能的大規模網路攻擊。
兩步驟免於VPNFilter惡意軟體攻擊:
研究人員建議採取以下步驟來保護你的系統免於VPNFilter惡意軟體攻擊:
- 重設你的路由器來回復到出廠預設值。重新啟動可以阻止階段二和三在受感染設備運行,至少需要等到階段一重新安裝這兩個程序
- 廠商發布修補程式後要立即更新路由器韌體
[延伸閱讀:保護家庭網路:從保護路由器開始]
趨勢科技解決方案
趨勢科技的Smart Home Network客戶可以透過以下規則來免於此威脅:
- 1054456 WEB Linksys Unauthenticated Remote Code Execution -1 (OSVDB-103321)
- 1054457 WEB Linksys Unauthenticated Remote Code Execution -2 (OSVDB-103321)
- 1055170 EXPLOIT Generic Arbitrary Command Execution -1
- 1056614 WEB Cisco Linksys E1500/E2500 apply.cgi Remote Command Injection -1 (BID-57760)
- 1058664 WEB Cisco Linksys E1500 and E2500 Router Directory Traversal Vulnerability (BID-57760)
- 1058665 WEB Cisco Linksys E1500 and E2500 Router Password Change Vulnerability (BID-57760)
- 1058980 WEB Cross-site Scripting -14
- 1059209 WEB Cisco Linksys E1500 and E2500 Router OS Command Injection Vulnerability (BID-57760)
- 1059253 WEB Netgear DGN1000 And Netgear DGN2200 Security Bypass Vulnerability (BID-60281)
- 1059264 WEB QNAP VioStor NVR and QNAP NAS Remote Code Execution Vulnerability (CVE-2013-0143)
- 1059672 WEB Cisco Linksys E1500/E2500 apply.cgi Remote Command Injection -2 (BID-57760)
- 1132723 WEB GD Library libgd gd_gd2.c Heap Buffer Overflow -1 (CVE-2016-3074)
- 1133310 WEB Netgear R7000 Command Injection -1.1 (CVE-2016-6277)
- 1133463 SSDP Simple Service Discovery Protocol Reflection Denial of Service Vulnerability
- 1133464 WEB Netgear WNDR1000v4 Router Remote Authentication Bypass
- 1133572 WEB Shell Spawning Attempt via telnetd -1.b
- 1133802 WEB Netgear NETGEAR DGN2200 dnslookup.cgi Remote Command Injection (CVE-2017-6334 )
- 1133908 EXPLOIT QNAP Transcode Server Command Execution
- 1134566 NETBIOS MikroTik RouterOS SMB Buffer Overflow -1 (CVE-2018-7445)
- 1134567 NETBIOS MikroTik RouterOS SMB Buffer Overflow -2 (CVE-2018-7445)
@原文出處:Reboot Your Routers: VPNFilter Infected Over 500,000 Routers Worldwide