阿里安全獵戶座實驗室解析最新惡意軟體VPNFilter

來自專欄阿里聚安全的安全專欄

文/阿里安全獵戶座實驗室

近日，思科Talos團隊公開了一個新的惡意軟體及系統「VPNFilter」。

研究結果表明，VPNFilter是一個可擴展性強、有較好健壯性、高水平及非常危險的安全威脅，高度模塊化的框架允許快速更改操作目標設備，同時為情報收集和尋找攻擊平台提供支撐。VPNFilter破壞性較強，可以通過燒壞用戶的設備來掩蓋蹤跡，比簡單地刪除惡意軟體痕迹更深入，同時VPNFilter惡意軟體的組件允許盜竊網站憑證和監控Modbus SCADA協議。如果需要的話，類似命令可大規模地執行，可能會導致成千上萬的設備無法使用。

影響面廣 危害巨大

由於Talos團隊的觀察都是遠程，而不是在設備上的，很多情況下很難確定具體的版本號和模型。但根據研究結果，所有如下設備都有與VPNFilter惡意軟體相關的公開漏洞及威脅。不過以下清單是不完整的，但隨著研究的深入，其他設備可能也會受到影響。

LINKSYS設備：E1200、E2500、WRVS4400N

MIKROTIK 雲核心路由器ROUTEROS版本：1016、1036、1072

NETGEAR設備：DGN2200、R6400、R7000、R8000、WNR1000、WNR2000

QNAP設備：TS251、TS439 Pro及其他運行QTS軟體的QNAP NAS 存儲設備。

TP-LINK設備：R600VPN

阿里安全獵戶座實驗室：針對VPNFilter惡意軟體的防護建議

由於受影響的設備大多數直接連接到互聯網，攻擊者和設備之間大多沒有安全設備，大多數受影響的設備有公開漏洞，此外，大多數都沒有內置反惡意軟體功能，這些使得對於此類威脅防護比較困難。

阿里安全獵戶座實驗室針對VPNFilter惡意軟體的防護建議：

1）確保您的設備與補丁版本是最新的，及時應用更新補丁，避免存在公開漏洞。

2）設備對外最小化開放埠服務，減少攻擊面。

3）設備默認口令需要及時變更，同時滿足複雜度要求。

4）Talos開發並部署了100多個Snort簽名，用於公開已知的與此威脅相關的設備的漏洞。這些規則已經部署在公共Snort集合中，可以使用這些規則來保護設備。

5）對VPNFilter涉及的域名/ip地址做黑名單，並將其與該威脅關聯起來，進行檢測攔截防禦。

6）路由器和NAS設備被感染，建議用戶恢復出廠默認值，升級最新版本打上最新補丁並重新啟動。

事件回溯

2018年5月8日，思科Talos團隊觀察到VPNFilter感染活動急劇增加，幾乎所有新的受害者都在烏克蘭。同時，BlackEnergy和VPNFilter之間有代碼重疊。而且種種跡象表明攻擊可能很快就會發生；另外，至5月17日，在烏克蘭新的VPNFilter受害者再次大幅增加。據估計，至少有54個國家的感染設備數量至少達到50萬。為儘快減少此惡意軟體帶來的危害，思科Talos團隊與合作夥伴協商後，在尚未完成研究之前就公開了這些信息。

據悉，VPNFilter惡意軟體瞄準的設備類型為網路設備和存儲設備，一般很難防禦。這些設備經常出現在網路外圍，沒有入侵保護系統(IPS)，也通常沒有可用的基於主機的防護系統，如反病毒(AV)包，而且大多數的類似目標設備，特別是運行舊版本的，都有公開的漏洞或默認口令。這使得攻擊相對簡單，至少從2016年起這種威脅增長得很快。

目前，受VPNFilter惡意軟體影響的已知設備：Linksys、MikroTik、NETGEAR和TP-Link網路設備，一般在小型和家庭辦公室(SOHO)空間，以及QNAP網路附加存儲(NAS)設備。

解析VPNFilter惡意軟體

VPNFilter惡意軟體是一個分不同階段而且模塊化運行的攻擊平台，支持多種功能，並可進行情報收集和破壞性網路攻擊操作。

第1階段惡意軟體通過重新啟動植入，這使得它有別於大多數其他惡意軟體，因為惡意軟體通常無法在設備重啟後存活。第1階段的主要目的是獲得一個持久化存在的立足點，並使第2階段的惡意軟體得以部署。第1階段利用多個控制命令和通道(C2)來發現當前階段2部署伺服器的IP地址，使這個惡意軟體極其健壯，能夠處理不可預測的C2基礎結構變化。

第2階段惡意軟體擁有智能收集平台中所期望的功能，比如文件收集、命令執行、數據過濾和設備管理，某些版本也具有自毀功能，覆蓋了設備固件的關鍵部分，並可重新引導設備，使其無法使用。

此外，還有多個階段3的模塊作為第二階段惡意軟體的插件，提供附加功能，當前思科Talos團隊已發現了兩個插件模塊:一個數據包嗅探器來收集通過該設備的流量，包括盜竊網站憑證和監控Modbus SCADA協議，以及允許第二階段與Tor通信的通信模塊，據稱仍然有其他幾個插件模塊但當前還沒有發現。

其中：

1.VPNFilter惡意軟體已知的C2域和IP

階段1：

photobucket[.]com/user/nikkireed11/library

photobucket[.]com/user/kmila302/library

photobucket[.]com/user/lisabraun87/library

photobucket[.]com/user/eva_green1/library

photobucket[.]com/user/monicabelci4/library

photobucket[.]com/user/katyperry45/library

photobucket[.]com/user/saragray1/library

photobucket[.]com/user/millerfred/library

photobucket[.]com/user/jeniferaniston1/library

photobucket[.]com/user/amandaseyfried1/library

photobucket[.]com/user/suwe8/library

photobucket[.]com/user/bob7301/library

toknowall[.]com

階段2：

91.121.109[.]209

217.12.202[.]40

94.242.222[.]68

82.118.242[.]124

46.151.209[.]33

217.79.179[.]14

91.214.203[.]144

95.211.198[.]231

195.154.180[.]60

5.149.250[.]54

91.200.13[.]76

94.185.80[.]82

62.210.180[.]229

zuh3vcyskd4gipkm[.]onion/bin32/update.php

2.文件HASH值

階段1：

50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec

0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92

階段2：

9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17

d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e

4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b

9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387

37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4

776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d

8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1

0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b

階段3：

f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344

afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

推薦閱讀：