美國聯邦調查局(FBI)在五月下旬公開警告關於針對家用和辦公室路由器及網路設備的網路攻擊。罪魁禍首:VPNFilter(趨勢科技偵測為Trojan.Linux.VPNFILT.AA),據報導影響了至少 54 個國家/地區超過50萬台的路由器。
VPNFilter是隻多階段和模組化的惡意軟體,可以竊取和收集資料、攔截或封鎖網路流量、監控資料採集與監控系統(SCADA)協定,並且讓受感染的路由器無法運作。
[來自 TrendLabs 資安趨勢部落格:受 VPNFilter 影響的設備還有著19個漏洞]
幸運的是,FBI成功地拿下VPNFilter所使用的網域/命令和控制(C&C)伺服器。安全研究人員在最近進一步分析了 VPNFilter 的額外模組,這些模組可能會被用於未來的攻擊:
- htpx:重新導向和檢查經過受感染設備的未加密流量。
- ndbr:啟用對設備的遠端連線,將其轉變成SSH客戶端或伺服器,並透過SSH使用SCP協定來傳輸檔案。它還會執行一個開放原始碼掃描程式來識別網路上的主機和服務。
- nm:通過網路拓樸和端口掃描工具來進行偵察;並搜尋特定型號路由器來進行攻擊。
- netfilter:透過封鎖與某些服務和應用程式相關的IP地址來進行阻斷服務攻擊。
- portforwarding:將受攻擊設備的流量導向攻擊者指定的網路。
- socks5proxy:將受感染設備轉變成VPN伺服器,讓攻擊者可以用來進行自己的網路活動。
- tcpvpn:啟用對受感染內部網路設備的遠端連線,然後可以用它來傳出資料和進行遠端C&C連線。