VPNFilter是一种针对网络设备(如路由器)固件的恶意软件,其主要行为包括但不限于蠕虫感染、中间人攻击、特洛伊木马、破坏受感染的路由器固件等。FBI经过调查认为是由俄罗斯黑客集团Fancy Bear制作
VPNFilter会感染多种网络路由器、第三层交换器等网络通信设备,以及一些网络存储设备,并且该软件还表现出对工业控制系统常见的Modbus协议、SCADA系统有感染偏好,而这些协议在工厂厂房、仓储仓库的网络系统和控制系统中常见,在对该软件的反向工程中,发现对SCADA的偏好甚至还是硬编码的。
经过后来的版本分析显示,最初安装VPNFilter的蠕虫程序仅能攻击运行嵌入式Linux固件的设备,而且还要特定处理器平台的编译版本,使用x86架构的Linux操作系统的网络通信设备并未能感染,后来VPNFilter的攻击范围除了ARM架构、MIPS架构的设备以外,x86架构等也未能幸免;感染的操作系统也由Linux扩及至OpenBSD等类UNIX系统。
软件先是依据内置的厂商型号“花名册”来判别设备厂牌及型号,一旦命中则使用相应厂牌设备默认的管理员认证信息(像是默认的路由器管理密码)来进入网络设备的操作系统,一般的路由器等设备默认便是管理员权限的用户,因此这样实际上已经获得了管理员权限,不过这意味着要防范该恶意软件的话,仅需更改设备的默认管理密码或其它安全认证信息即可。
在软件获得设备的管理员权限以后,便开始进行植入操作。
第一阶段,蠕虫感染,查找Busybox一类的工具包,获得后利用该工具包在crontab一类的工作调度器、引导启动管理器中加入自启动项,令其可以定时启动,即使是可执行文件及脚本被移除亦可在某个时间点上重新下载可执行文件并运行随后的感染动作;
第二阶段,从远程抓取恶意软件的本体,即服务端,这是一个包含所有该软件所有基本功能特性的二进制可执行文件,会从远程(客户端)接收特定指令进行相应的操作,从远程发出的命令还可以令服务端下载新增额外的可选的功能模块;
第三阶段,根据远程的指令,安装不同特定功能的模块,并运行相应的功能,不同场合安装的模块可能会不一样,如在工业控制设备上会安装Modbus、SCADA相关的组件,在需要监听通信内容时安装dark web(英语:dark web)、Tor、ssller模块等。
VPNFilter在遭受感染的设备中对该设备所在网络位置的网络流量进行数据包分析,获取该网络下的密码、用户名、数字签名等安全认证信息,在某些时候还会运行数据篡改、对设备进行其它控制操作,包括作为往后使用这些窃取的认证信息进行攻击的中继点,并隐藏这些攻击行为。
具体一些模块的细节,像是Tor模块可用于与远程的加密通信;ssller模块可用于中间人攻击,向网络注入恶意流量负载,修改发送的流量,将HTTPS降级为HTTP,对Google、Facebook、Twitter和Youtube等站的流量进行调整以便监视;dstr模块会在必要时先抹掉VPNFilter的行动踪迹,再删除固件内的一些必要软件以达到破坏被感染设备的目的。还有其它的功能模块,不少是基于现有的恶意软件重新编译打包而来。
至2018年5月,全球约50万台网络通信设备的固件遭受感染(数量仍在持续增加中),不仅最初发现该恶意软件的Cisco、Linksys、Netgear等厂商的设备受影响,华硕、D-Link、Ubiquiti(英语:Ubiquiti Networks)、华为、中兴、TP-Link、MikroTik、QNAP等众多厂牌的设备也有不同程度的感染,规模超乎对此介入调查的FBI的预期。受感染的设备要彻底除去该恶意软件只能重置路由器的固件(返回出厂设置),然后立即更改设备的默认管理密码,单纯的重启虽然能一定程度上遏制该恶意软件的后续动作,但除了并不能阻止“感染复发”以外还有变成僵尸网络的风险。
注:本次事件中乌克兰是主要目标,中国啥事没有。
閱讀更多 互聯網探索者之一 的文章
