VPNFilter

✍ dations ◷ 2025-08-02 15:58:38 #恶意软件,计算机病毒

VPNFilter是一种针对网络设备(如路由器)固件的恶意软件,其主要行为包括但不限于蠕虫感染、中间人攻击、特洛伊木马、破坏受感染的路由器固件等。FBI经过调查认为是由俄罗斯黑客集团Fancy Bear(英语:Fancy Bear)制作。

至2018年5月,全球约50万台网络通信设备的固件遭受感染(数量仍在持续增加中),不仅最初发现该恶意软件的Cisco、Linksys、Netgear等厂商的设备受影响,华硕、D-Link、Ubiquiti(英语:Ubiquiti Networks)、华为、中兴、TP-Link、MikroTik、QNAP等众多厂牌的设备也有不同程度的感染,规模超乎对此介入调查的FBI的预期。受感染的设备要彻底除去该恶意软件只能重置路由器的固件(返回出厂设置),然后立即更改设备的默认管理密码,单纯的重启虽然能一定程度上遏制该恶意软件的后续动作,但除了并不能阻止“感染复发”以外还有变成僵尸网络的风险。

VPNFilter会感染多种网络路由器、第三层交换器等网络通信设备,以及一些网络存储设备,并且该软件还表现出对工业控制系统常见的Modbus协议、SCADA系统有感染偏好,而这些协议在工厂厂房、仓储仓库的网络系统和控制系统中常见,在对该软件的反向工程中,发现对SCADA的偏好甚至还是硬编码的。

经过后来的版本分析显示,最初安装VPNFilter的蠕虫程序仅能攻击运行嵌入式Linux固件的设备,而且还要特定处理器平台的编译版本,使用x86架构的Linux操作系统的网络通信设备并未能感染,后来VPNFilter的攻击范围除了ARM架构、MIPS架构的设备以外,x86架构等也未能幸免;感染的操作系统也由Linux扩及至OpenBSD等类UNIX系统。

软件先是依据内置的厂商型号“花名册”来判别设备厂牌及型号,一旦命中则使用相应厂牌设备默认的管理员认证信息(像是默认的路由器管理密码)来进入网络设备的操作系统,一般的路由器等设备默认便是管理员权限的用户,因此这样实际上已经获得了管理员权限,不过这意味着要防范该恶意软件的话,仅需更改设备的默认管理密码或其它安全认证信息即可。

在软件获得设备的管理员权限以后,便开始进行植入操作:

VPNFilter在遭受感染的设备中对该设备所在网络位置的网络流量进行数据包分析,获取该网络下的密码、用户名、数字签名等安全认证信息,在某些时候还会运行数据篡改、对设备进行其它控制操作,包括作为往后使用这些窃取的认证信息进行攻击的中继点,并隐藏这些攻击行为。

具体一些模块的细节,像是Tor模块可用于与远程的加密通信;ssller模块可用于中间人攻击,向网络注入恶意流量负载,修改发送的流量,将HTTPS降级为HTTP,对Google、Facebook、Twitter和Youtube等站的流量进行调整以便监控;dstr模块会在必要时先抹掉VPNFilter的行动踪迹,再删除固件内的一些必要软件以达到破坏被感染设备的目的。还有其它的功能模块,不少是基于现有的恶意软件重新编译打包而来。

该恶意软件还对对其进行追踪的行为有一定的反制措施。而且该恶意软件仍在持续演化中。

Cisco和Symantec针对这些受感染设备影响,发表了用户可操作的解决措施。

其中,根除措施是重置路由器设备(返回出厂设置),对于小型家用级别的设备,可使用惯常的用牙签、针等尖锐物按压设备重置孔内的按键达到重置目的(具体视不同设备而定);一种是如果设备官方有固件更新,可按照固件安装说明重置固件并重装路由器的固件。不过无论何种方式达到了移除恶意程序的目的,原厂默认的设备管理密码是必须修改的,这也是防范再次感染的方法。

另一种方法是针对不能即时重置系统的临时缓解措施,由于设备受感染后,即便重启设备也只能暂时清除恶意软件,但仍处于感染的第一阶段,仍会试图通过某个网址重新下载恶意软件本体并继续感染其它网络通信设备。

该恶意程序也引起了美国联邦调查局(FBI)的高度关注,在Cisco发表对VPNFliter的信息安全报告后随即展开了调查,不久就通过追踪在受感染设备第一阶段进行下载恶意软件时的重定向路径找到一个域名为“toknowall.com”的网址来源,但网址并没有明文显示,而是随机域名重定向至此而得。针对病毒的第一阶段的感染,目前FBI一方面通过法院授权获取了对“toknowall.com”的控制权,将之重定向至空链接(实际上是FBI的蜜罐,或是未知的行动),以避免第二、三阶段的感染(但该缓解方法非长久之计,仍有变成僵尸网络的风险),而另一方面试图以蜜罐的方式获得更多的下载来源以追查发布者。

至2018年5月24日,Cisco旗下的威胁情报组织Talos统计全球至少50万台设备被感染,分布于54个国家及地区,尤其是以乌克兰为感染的重灾区。次月的感染数量又翻了约一倍。

以下是可能受影响的设备清单:

华硕:

D-Link:

华为:

Linksys:

Mikrotik:

Netgear:

QNAP:

TP-Link:

Ubiquiti:

Upvel:

中兴:

相关

  • 语法单位语法单位,是语法分析中描述任意音义结合体规模大小的单位,每一级语法单位在语法分析上的表现都有所不同。常见的语法单位包含了词法单位和句法单位,包括:
  • 弗留利语意大利弗留利语(弗留利语:Furlan,意大利语:friulano)是一种罗曼语族语言,属于列托-罗曼斯语语支,在意大利的弗留利-威尼斯朱利亚流通。弗留利语有约 60 万使用者,大部分使用者同时能
  • 直接起飞直接起飞(Direct ascent)是美国太空计划登月计划阶段被提出的一种方案。直接起飞提出由一个巨大的新星火箭携带一艘航天器,直接飞往月球;火箭在月球降落,任务完成后再次起飞,飞回
  • 亨利·维克托·勒尼奥亨利·维克托·勒尼奥(法语:Henri Victor Regnault,1810年7月21日-1878年1月19日),法国化学家、物理学家,因精确测量气体热力性质而闻名,是早期热力学家之一。1810年7月21日出生于德
  • 松萝红桧(学名:Chamaecyparis formosensis) 是柏科扁柏属大乔木,又称台湾红桧、松萝、薄皮、水古杉。1896年11月,竹山抚垦署长齐藤音作伙同林学博士本多静六组团抢攻玉山,误登最难攻顶
  • 温县温县是河南省北部的焦作市下辖的一个县,总面积462平方公里。温县东侧邻武陟县、西侧为孟州市,北部为博爱县与沁阳市,南濒黄河与郑州、洛阳两市相邻。该县以境内温泉而得名。目
  • 菊花的刺《菊花的刺》,又名《菊花之刺》,为古龙逝世后没多久万盛出版,当时伪作满天飞,许多出版社均打着“古龙遗稿,本出版补足”,或是干脆找人代笔挂着古龙之名出版;本书在当时风气下,自然也
  • 南德德-瓦加拉南德德-瓦加拉(Nanded-Waghala),是印度马哈拉施特拉邦Nanded县的一个城镇。总人口430598(2001年)。该地2001年总人口430598人,其中男性224766人,女性205832人;0—6岁人口64229人,其中
  • 艾里克·亚金莫维奇艾里克·亚金莫维奇(Erik Yakhimovich,1968年9月6日-),出生于明斯克,是一名已经退役的白俄罗斯职业足球运动员,司职后卫,曾经效力于俄罗斯、土耳其、中国等多个国家的足球俱乐部。现
  • 夏仁宗人庆:1144年-1148年 天盛:1149年-1169年 夏仁宗李仁孝(1124年-1193年10月16日),夏崇宗次子,母为汉人,不知名。由于其兄李仁爱先于崇宗而死,故被立为太子。1139年7月1日夏崇宗李乾顺去世