<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              黑基Web安全攻防班
              安基網 首頁 資訊 安全報 查看內容

              襲擊超過100W人惡意軟件——VPNFilter

              2018-9-21 09:21| 投稿: xiaotiger |來自: 互聯網

              摘要: VPNFilter是一種針對網絡設備(如路由器)固件的惡意軟件,其主要行為包括但不限于蠕蟲感染、中間人攻擊、特洛伊木馬、破壞受感染的路由器固件等。FBI經過調查認為是由俄羅斯黑客集團Fancy Bear制作VPNFilter會感染 ...

              VPNFilter是一種針對網絡設備(如路由器)固件的惡意軟件,其主要行為包括但不限于蠕蟲感染、中間人攻擊、特洛伊木馬、破壞受感染的路由器固件等。FBI經過調查認為是由俄羅斯黑客集團Fancy Bear制作

              VPNFilter會感染多種網絡路由器、第三層交換器等網絡通信設備,以及一些網絡存儲設備,并且該軟件還表現出對工業控制系統常見的Modbus協議、SCADA系統有感染偏好,而這些協議在工廠廠房、倉儲倉庫的網絡系統和控制系統中常見,在對該軟件的反向工程中,發現對SCADA的偏好甚至還是硬編碼的。

              經過后來的版本分析顯示,最初安裝VPNFilter的蠕蟲程序僅能攻擊運行嵌入式Linux固件的設備,而且還要特定處理器平臺的編譯版本,使用x86架構的Linux操作系統的網絡通信設備并未能感染,后來VPNFilter的攻擊范圍除了ARM架構、MIPS架構的設備以外,x86架構等也未能幸免;感染的操作系統也由Linux擴及至OpenBSD等類UNIX系統。

              軟件先是依據內置的廠商型號“花名冊”來判別設備廠牌及型號,一旦命中則使用相應廠牌設備默認的管理員認證信息(像是默認的路由器管理密碼)來進入網絡設備的操作系統,一般的路由器等設備默認便是管理員權限的用戶,因此這樣實際上已經獲得了管理員權限,不過這意味著要防范該惡意軟件的話,僅需更改設備的默認管理密碼或其它安全認證信息即可。

              在軟件獲得設備的管理員權限以后,便開始進行植入操作。

              第一階段,蠕蟲感染,查找Busybox一類的工具包,獲得后利用該工具包在crontab一類的工作調度器、引導啟動管理器中加入自啟動項,令其可以定時啟動,即使是可執行文件及腳本被移除亦可在某個時間點上重新下載可執行文件并運行隨后的感染動作;

              第二階段,從遠程抓取惡意軟件的本體,即服務端,這是一個包含所有該軟件所有基本功能特性的二進制可執行文件,會從遠程(客戶端)接收特定指令進行相應的操作,從遠程發出的命令還可以令服務端下載新增額外的可選的功能模塊;

              第三階段,根據遠程的指令,安裝不同特定功能的模塊,并運行相應的功能,不同場合安裝的模塊可能會不一樣,如在工業控制設備上會安裝Modbus、SCADA相關的組件,在需要監聽通信內容時安裝dark web(英語:dark web)、Tor、ssller模塊等。

              VPNFilter在遭受感染的設備中對該設備所在網絡位置的網絡流量進行數據包分析,獲取該網絡下的密碼、用戶名、數字簽名等安全認證信息,在某些時候還會運行數據篡改、對設備進行其它控制操作,包括作為往后使用這些竊取的認證信息進行攻擊的中繼點,并隱藏這些攻擊行為。

              具體一些模塊的細節,像是Tor模塊可用于與遠程的加密通信;ssller模塊可用于中間人攻擊,向網絡注入惡意流量負載,修改發送的流量,將HTTPS降級為HTTP,對Google、Facebook、Twitter和Youtube等站的流量進行調整以便監視;dstr模塊會在必要時先抹掉VPNFilter的行動蹤跡,再刪除固件內的一些必要軟件以達到破壞被感染設備的目的。還有其它的功能模塊,不少是基于現有的惡意軟件重新編譯打包而來。

              至2018年5月,全球約50萬臺網絡通信設備的固件遭受感染(數量仍在持續增加中),不僅最初發現該惡意軟件的Cisco、Linksys、Netgear等廠商的設備受影響,華碩、D-Link、Ubiquiti(英語:Ubiquiti Networks)、華為、中興、TP-Link、MikroTik、QNAP等眾多廠牌的設備也有不同程度的感染,規模超乎對此介入調查的FBI的預期。受感染的設備要徹底除去該惡意軟件只能重置路由器的固件(返回出廠設置),然后立即更改設備的默認管理密碼,單純的重啟雖然能一定程度上遏制該惡意軟件的后續動作,但除了并不能阻止“感染復發”以外還有變成僵尸網絡的風險。

              注:本次事件中烏克蘭是主要目標,中國啥事沒有。


              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6603285929299804686/

              免責聲明:本文由投稿者轉載自互聯網,版權歸原作者所有,文中所述不代表本站觀點,若有侵權或轉載等不當之處請聯系我們處理,讓我們一起為維護良好的互聯網秩序而努力!聯系方式見網站首頁右下角。


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

              最新

              返回頂部
              十一选五奖金对照表