VPNFilter
VPNFilter是一種針對網絡裝置(如路由器)韌體的惡意軟件,其主要行為包括但不限於蠕蟲感染、中間人攻擊、特洛伊木馬、破壞受感染的路由器韌體等。[1][2]FBI經過調查認為是由俄羅斯黑客集團Fancy Bear製作。[3][4]
至2018年5月,全球約50萬台網絡通訊裝置的韌體遭受感染(數量仍在持續增加中[5]),不僅最初發現該惡意軟件的Cisco、Linksys、Netgear等廠商的裝置受影響,華碩、D-Link、Ubiquiti、華為、中興、TP-Link、MikroTik、QNAP等眾多廠牌的裝置也有不同程度的感染,規模超乎對此介入調查的FBI的預期。受感染的裝置要徹底除去該惡意軟件只能重設路由器的韌體(返回出廠設置),然後立即更改裝置的預設管理密碼,單純的重新開機雖然能一定程度上遏制該惡意軟件的後續動作,但除了並不能阻止「感染復發」以外還有變成殭屍網絡的風險。[6][7]
軟件行爲動作
VPNFilter會感染多種網絡路由器、第三層交換器等網絡通訊裝置,以及一些網絡儲存裝置[8],並且該軟件還表現出對工業控制系統常見的Modbus協定、SCADA系統有感染偏好,而這些協定在工廠廠房、倉儲倉庫的網絡系統和控制系統中常見,在對該軟件的反向工程中,發現對SCADA的偏好甚至還是寫死的。[9]
經過後來的版本分析顯示,最初安裝VPNFilter的蠕蟲程式僅能攻擊運行嵌入式Linux韌體的裝置,而且還要特定處理器平台的編譯版本,使用x86架構的Linux作業系統的網絡通訊裝置並未能感染,後來VPNFilter的攻擊範圍除了ARM架構、MIPS架構的裝置以外,x86架構等也未能倖免;感染的作業系統也由Linux擴及至OpenBSD等類UNIX系統。[10][11][2][12]
軟件先是依據內建的廠商型號「花名冊」來判別裝置廠牌及型號,一旦命中則使用相應廠牌裝置預設的管理員認證資訊(像是預設的路由器管理密碼)來進入網絡裝置的作業系統,一般的路由器等裝置預設便是管理員權限的用戶,因此這樣實際上已經獲得了管理員權限,不過這意味着要防範該惡意軟件的話,僅需更改裝置的預設管理密碼或其它安全認證資訊即可。[9]
在軟件獲得裝置的管理員權限以後,便開始進行植入操作:[9][13]
- 第一階段,蠕蟲感染,尋找Busybox一類的工具包,獲得後利用該工具包在crontab一類的工作排程器、開機啓動管理器中加入自啓動項,令其可以定時啓動,即使是可執行檔案及指令碼被移除亦可在某個時間點上重新下載可執行檔案並執行隨後的感染動作;
- 第二階段,從遠端抓取惡意軟件的本體,即伺服器端,這是一個包含所有該軟件所有基本功能特性的二進位可執行檔案,會從遠端(客戶端)接收特定指令進行相應的操作,從遠端發出的命令還可以令伺服器端下載新增額外的可選的功能模組;
- 第三階段,根據遠端的指令,安裝不同特定功能的模組,並執行相應的功能,不同場合安裝的模組可能會不一樣,如在工業控制裝置上會安裝Modbus、SCADA相關的組件,在需要監聽通訊內容時安裝dark web、Tor、ssller模組等
操作細節
VPNFilter在遭受感染的裝置中對該裝置所在網絡位置的網絡流量進行封包分析,獲取該網絡下的密碼、用戶名、數碼簽章等安全認證資訊,在某些時候還會執行數據篡改、對裝置進行其它控制操作,包括作爲往後使用這些竊取的認證資訊進行攻擊的中繼點,並隱藏這些攻擊行爲。
具體一些模組的細節,像是Tor模組可用於與遠端的加密通訊;ssller模組可用於中間人攻擊,向網絡注入惡意流量負載,修改傳送的流量,將HTTPS降級爲HTTP,對Google、Facebook、Twitter和Youtube等站的流量進行調整以便監視;[14][15][16]dstr模組會在必要時先抹掉VPNFilter的行動蹤跡,再刪除韌體內的一些必要軟件以達到破壞被感染裝置的目的。[6]還有其它的功能模組,不少是基於現有的惡意軟件重新編譯打包而來。
緩解及解決
Cisco和Symantec針對這些受感染裝置影響,發表了用戶可操作的解決措施。
其中,根除措施是重設路由器裝置(返回出廠設置),對於小型家用級別的裝置,可使用慣常的用牙籤、針等尖銳物按壓裝置重設孔內的按鍵達到重設目的(具體視不同裝置而定);一種是如果裝置官方有韌體更新,可按照韌體安裝說明重設韌體並重新安裝路由器的韌體。不過無論何種方式達到了移除惡意程式的目的,原廠預設的裝置管理密碼是必須修改的,這也是防範再次感染的方法。
另一種方法是針對不能即時重設系統的臨時緩解措施,由於裝置受感染後,即便重啓裝置也只能暫時清除惡意軟件,但仍處於感染的第一階段,仍會試圖通過某個網址重新下載惡意軟件本體並繼續感染其它網絡通訊裝置。[19]
該惡意程式也引起了美國聯邦調查局(FBI)的高度關注,在Cisco發表對VPNFliter的資訊保安報告後隨即展開了調查,不久就通過追蹤在受感染裝置第一階段進行下載惡意軟件時的重新導向路徑找到一個域名為「toknowall.com」的網址來源,但網址並沒有明文顯示,而是隨機域名重新導向至此而得。[4]針對病毒的第一階段的感染,目前FBI一方面通過法院授權取得了對「toknowall.com」的控制權,將之重新導向至空連結(實際上是FBI的蜜罐,或是未知的行動[20]),以避免第二、三階段的感染(但該緩解方法非長久之計,仍有變成僵屍網絡的風險)[21],而另一方面試圖以蜜罐的方式獲得更多的下載來源以追查發佈者。[22][23][3]
受影響裝置、地區
至2018年5月24日,Cisco旗下的威脅情報組織Talos統計全球至少50萬台裝置被感染,分佈於54個國家及地區,尤其是以烏克蘭為感染的重災區。[10]次月的感染數量又翻了約一倍。[5]
華碩:
- RT-AC66U
- RT-N10
- RT-N10E
- RT-N10U
- RT-N56U
- RT-N66U
D-Link:
- DES-1210-08P
- DIR-300
- DIR-300A
- DSR-250N
- DSR-500N
- DSR-1000
- DSR-1000N
華為:
- HG8245
Linksys:
- E1200
- E2500
- E3000
- E3200
- E4200
- RV082
- WRVS4400N
Mikrotik:
- CCR1009
- CCR1016
- CCR1036
- CCR1072
- CRS109
- CRS112
- CRS125
- RB411
- RB450
- RB750
- RB911
- RB921
- RB941
- RB951
- RB952
- RB960
- RB962
- RB1100
- RB1200
- RB2011
- RB3011
- RB Groove
- RB Omnitik
- STX5
- Mikrotik RouterOS 6.37.5版至6.38.5版(現時最新版本)[24]
Netgear:
- DG834
- DGN1000
- DGN2200
- DGN3500
- FVS318N
- MBRN3000
- R6400
- R7000
- R8000
- WNR1000
- WNR2000
- WNR2200
- WNR4000
- WNDR3700
- WNDR4000
- WNDR4300
- WNDR4300-TN
- UTM50
QNAP:
- TS251
- TS439 Pro
- Other QNAP NAS devices running QTS software
TP-Link:
- R600VPN
- TL-WR741ND
- TL-WR841N
Ubiquiti:
- NSM2
- PBE M5
Upvel:
- 型號未公佈[nb 1]
中興:
- ZXHN H108N
腳註
- ^ 在對VPNFliter的反向工程中獲得的「製造商清單」中有「Upvel」的字樣,但並未在裏面找到對應的裝置型號
參考資料
- ^ 黑客用恶意程序感染 50 万路由器. www.solidot.org. [2018-06-18]. (原始內容存檔於2022-03-27).
- ^ 2.0 2.1 2.2 VPNFilter state-affiliated malware pose lethal threat to routers. SlashGear. 2018-05-24 [2018-05-31]. (原始內容存檔於2018-06-14) (美國英語).
- ^ 3.0 3.1 Kevin Poulsen. Exclusive: FBI Seizes Control of Russian Botnet. Daily Beast. 2018-05-23 [2018-06-18]. (原始內容存檔於2019-04-13).
- ^ 4.0 4.1 FBI to all router users: Reboot now to neuter Russia's VPNFilter malware. [2018-06-18]. (原始內容存檔於2018-07-03).
- ^ 5.0 5.1 VPNFilter malware has infected a million routers — here's what you need to know. Android Central. 2018-06-11 [2018-06-25]. (原始內容存檔於2021-06-15) (英語).
- ^ 6.0 6.1 VPNFilter災情超乎預期,華碩、D-Link、華為與中興裝置都遭殃. iThome. [2018-06-18]. (原始內容存檔於2019-10-08) (中文(繁體)).
- ^ The VPNFilter Botnet Is Attempting a Comeback. BleepingComputer. [2018-06-25]. (原始內容存檔於2021-03-08) (美國英語).
- ^ 【注意喚起】QNAP社製NAS VPNFilterマルウェア対策について|テックウインド株式会社. www.tekwind.co.jp. [2018-06-25]. (原始內容存檔於2021-05-07) (日語).
- ^ 9.0 9.1 9.2 VPNFilter: New Router Malware with Destructive Capabilities. [2018-06-18]. (原始內容存檔於2018-07-21).
- ^ 10.0 10.1 10.2 Hackers infect 500,000 consumer routers all over the world with malware. Ars Technica. [2018-05-31]. (原始內容存檔於2018-06-20) (美國英語).
- ^ 11.0 11.1 VPNFilter: New Router Malware with Destructive Capabilities. [2018-05-31]. (原始內容存檔於2018-07-21) (英語).
- ^ 12.0 12.1 William Largent. VPNFilter Update - VPNFilter exploits endpoints, targets new devices. 2018-06-06 [2018-06-18]. (原始內容存檔於2019-05-22) (英語).
- ^ FBI对俄罗斯黑客进行攻击,抓住VPNFilter恶意软件域. www.sdnlab.com (中文(中國大陸)).
- ^ VPNFilter 恶意程序能降级 HTTPS. www.solidot.org. [2018-06-18]. (原始內容存檔於2022-05-09).
- ^ VPNFilter malware infecting 500,000 devices is worse than we thought. Ars Technica. [2018-06-18]. (原始內容存檔於2022-04-18) (美國英語).
- ^ VPNFilter Update - VPNFilter exploits endpoints, targets new devices. blog.talosintelligence.com. [2018-06-18]. (原始內容存檔於2019-05-22).
- ^ VPNFilter恶意软件最新研究进展. www.4hou.com. [2018-06-18]. (原始內容存檔於2018-06-18) (中文(中國大陸)).
- ^ Ghoshal, Abhimanyu. VPNFilter router malware from Russia affects way more devices. The Next Web. 2018-06-07 [2018-06-25]. (原始內容存檔於2021-03-07).
- ^ 【附型號名單】全球 50 萬 Router 遭俄病毒感染 FBI:Reboot 保平安. UNWIRE.HK. 2018-05-30 [2018-06-18]. (原始內容存檔於2021-05-19) (中文(臺灣)).
- ^ VPNFilter: Why Does The FBI Want People To Reboot Their Routers?. 2018-06-01.
- ^ FBI 警告全球 50 萬路由器遭俄病毒感染!附受感染型號及解決方法. [2018-06-18]. (原始內容存檔於2019-02-18).
- ^ Dan Goodin. FBI tells router users to reboot now to kill malware infecting 500k devices. Ars Technica. 2018-05-25 [2018-06-18]. (原始內容存檔於2022-05-14).
- ^ Dan Goodin. Hackers infect 500,000 consumer routers all over the world with malware. Ars Technica. 2018-05-24 [2018-06-18]. (原始內容存檔於2018-06-20).
- ^ VPNfilter official statement - MikroTik. forum.mikrotik.com. [2018-05-31]. (原始內容存檔於2019-02-23) (英國英語).