VPNFilter

✍ dations ◷ 2025-02-23 08:05:56 #恶意软件,计算机病毒

VPNFilter是一种针对网络设备（如路由器）固件的恶意软件，其主要行为包括但不限于蠕虫感染、中间人攻击、特洛伊木马、破坏受感染的路由器固件等。FBI经过调查认为是由俄罗斯黑客集团Fancy Bear（英语：Fancy Bear）制作。

至2018年5月，全球约50万台网络通信设备的固件遭受感染（数量仍在持续增加中），不仅最初发现该恶意软件的Cisco、Linksys、Netgear等厂商的设备受影响，华硕、D-Link、Ubiquiti（英语：Ubiquiti Networks）、华为、中兴、TP-Link、MikroTik、QNAP等众多厂牌的设备也有不同程度的感染，规模超乎对此介入调查的FBI的预期。受感染的设备要彻底除去该恶意软件只能重置路由器的固件（返回出厂设置），然后立即更改设备的默认管理密码，单纯的重启虽然能一定程度上遏制该恶意软件的后续动作，但除了并不能阻止“感染复发”以外还有变成僵尸网络的风险。

VPNFilter会感染多种网络路由器、第三层交换器等网络通信设备，以及一些网络存储设备，并且该软件还表现出对工业控制系统常见的Modbus协议、SCADA系统有感染偏好，而这些协议在工厂厂房、仓储仓库的网络系统和控制系统中常见，在对该软件的反向工程中，发现对SCADA的偏好甚至还是硬编码的。

经过后来的版本分析显示，最初安装VPNFilter的蠕虫程序仅能攻击运行嵌入式Linux固件的设备，而且还要特定处理器平台的编译版本，使用x86架构的Linux操作系统的网络通信设备并未能感染，后来VPNFilter的攻击范围除了ARM架构、MIPS架构的设备以外，x86架构等也未能幸免；感染的操作系统也由Linux扩及至OpenBSD等类UNIX系统。

软件先是依据内置的厂商型号“花名册”来判别设备厂牌及型号，一旦命中则使用相应厂牌设备默认的管理员认证信息（像是默认的路由器管理密码）来进入网络设备的操作系统，一般的路由器等设备默认便是管理员权限的用户，因此这样实际上已经获得了管理员权限，不过这意味着要防范该恶意软件的话，仅需更改设备的默认管理密码或其它安全认证信息即可。

在软件获得设备的管理员权限以后，便开始进行植入操作：

VPNFilter在遭受感染的设备中对该设备所在网络位置的网络流量进行数据包分析，获取该网络下的密码、用户名、数字签名等安全认证信息，在某些时候还会运行数据篡改、对设备进行其它控制操作，包括作为往后使用这些窃取的认证信息进行攻击的中继点，并隐藏这些攻击行为。

具体一些模块的细节，像是Tor模块可用于与远程的加密通信；ssller模块可用于中间人攻击，向网络注入恶意流量负载，修改发送的流量，将HTTPS降级为HTTP，对Google、Facebook、Twitter和Youtube等站的流量进行调整以便监控；dstr模块会在必要时先抹掉VPNFilter的行动踪迹，再删除固件内的一些必要软件以达到破坏被感染设备的目的。还有其它的功能模块，不少是基于现有的恶意软件重新编译打包而来。

该恶意软件还对对其进行追踪的行为有一定的反制措施。而且该恶意软件仍在持续演化中。

Cisco和Symantec针对这些受感染设备影响，发表了用户可操作的解决措施。

其中，根除措施是重置路由器设备（返回出厂设置），对于小型家用级别的设备，可使用惯常的用牙签、针等尖锐物按压设备重置孔内的按键达到重置目的（具体视不同设备而定）；一种是如果设备官方有固件更新，可按照固件安装说明重置固件并重装路由器的固件。不过无论何种方式达到了移除恶意程序的目的，原厂默认的设备管理密码是必须修改的，这也是防范再次感染的方法。

另一种方法是针对不能即时重置系统的临时缓解措施，由于设备受感染后，即便重启设备也只能暂时清除恶意软件，但仍处于感染的第一阶段，仍会试图通过某个网址重新下载恶意软件本体并继续感染其它网络通信设备。

该恶意程序也引起了美国联邦调查局（FBI）的高度关注，在Cisco发表对VPNFliter的信息安全报告后随即展开了调查，不久就通过追踪在受感染设备第一阶段进行下载恶意软件时的重定向路径找到一个域名为“toknowall.com”的网址来源，但网址并没有明文显示，而是随机域名重定向至此而得。针对病毒的第一阶段的感染，目前FBI一方面通过法院授权获取了对“toknowall.com”的控制权，将之重定向至空链接（实际上是FBI的蜜罐，或是未知的行动），以避免第二、三阶段的感染（但该缓解方法非长久之计，仍有变成僵尸网络的风险），而另一方面试图以蜜罐的方式获得更多的下载来源以追查发布者。

至2018年5月24日，Cisco旗下的威胁情报组织Talos统计全球至少50万台设备被感染，分布于54个国家及地区，尤其是以乌克兰为感染的重灾区。次月的感染数量又翻了约一倍。

以下是可能受影响的设备清单：

华硕：

D-Link：

华为：

Linksys：

Mikrotik：

Netgear：

QNAP：

TP-Link：

Ubiquiti：

Upvel：

中兴：

相关

鲸脂鲸脂（或者称为海兽脂）是鲸鱼、鳍足类、海牛目等海生哺乳动物皮下有血管流通的脂肪组织。鲸脂为分布在全身富含脂质与胶原蛋白纤维的皮下组织，透过扇状网络结构的肌腱和韧带与
Mg(NOsub3/sub)sub2/sub硝酸镁是镁元素的硝酸盐，具有吸湿性，在潮湿的空气中能快速与水反应形成六水合硝酸镁。硝酸镁易溶于水或乙醇。水溶液呈弱酸性。硝酸镁的主要用途是浓缩硝酸，并常被用于印刷业及
大型都会公园台北市战前规划的大型都会公园是指台湾日治时期的台北市在第二次世界大战结束前，所规划的十七座大型都会公园。目前有七座完全辟建，虽然称为完全辟建，但仍有部分土地作为停车场
巴巴散射量子电动力学中，巴巴散射（英文：BhaBha Scattering）是指电子-反电子的散射过程，其中伴随有交换虚光子：巴巴散射散射振幅的领头项包含有两个费曼图的贡献：一个是湮灭过程，一个是散射过
组 (植物学)组（拉丁语：Sectio 英语：Section）是一个植物学生物分类等级。处于属以下，种以上。如果存在亚属，则组低于亚属。如果存在系，则系在组之下。部分组又可以再分成亚组。组通常用来帮
镜像 (几何)在几何学中，镜像，顾名思义，就是物体相对于某镜面所成的像。在二维空间里，一个物体（或二维图形）的镜像就是该物体在某平面镜中反射出来的虚像。这时镜像与原物有同样大小，但不尽相同
NINJA SLAYER忍者杀手《NINJA SLAYER 忍者杀手火烧新埼玉》第1册之封面《NINJA SLAYER忍者杀手》（日语：ニンジャスレイヤー，英语：）是美国作家Bradley Bond与Philip Ninj@ Morzez两人共同创作的科幻小
APRIL (女子团体)APRIL（韩语：에이프릴）是韩国DSP媒体于2015年推出的六人女子团体，初始成员包括昭珉、采媛、玹珠、娜恩、睿娜、真率。经成员变动后，现任成员有彩暻、采媛、娜恩、睿娜、Rachel、真
天六瓦斯气爆事故天六瓦斯气爆事故（天六ガス爆発事故）是1970年（昭和45年）4月8日傍晚在日本大阪府大阪市北区（包含旧大淀区、旧北区）国分寺附近的大阪市营地下铁谷町线天神桥筋六丁目站工地现场发
上海哈尔滨食品厂上海哈尔滨食品厂是中国上海的一家俄式食品厂，主营蛋糕、月饼，曾分别获得“中华老字号”和“上海老字号”称号，隶属于上海烟草集团黄浦烟草糖酒有限公司（即上海市黄浦区烟草专卖