0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

全球50万台路由器变“肉鸡”

pIuy_EAQapp 来源:未知 作者:李倩 2018-05-28 15:48 次阅读

5月25日讯 思科和赛门铁克公司于美国时间2018年5月23日陆续发出安全预警:黑客利用一个复杂的规模化恶意软件 VPNFilter,感染了全球54个国家的50万台路由器,并构建了庞大的僵尸网络,Linksys,MikroTik,Netgear 和 TP-Link 等多家路由器设备厂商受影响。

VPNFilter功能强大,可破坏固件设备

恶意软件 VPNFilter 被认为是第二个支持启动持久性功能的 IoT 恶意软件,不仅如此,该软件还可扫描数据采集与监控系统(SCADA)组件收集有价值的信息,并支持删除/破坏固件的功能,致使受影响的设备不可用。

全球50万台 路由器变“肉鸡”

思科称在逾50万台路由器上发现了 VPNFilter 恶意软件,全球54个国家,多个品牌的路由器遭遇感染。思科表示,攻击者未使用 0Day 漏洞构建该僵尸网络,而是利用的老旧的公开已知漏洞感染路由器。赛门铁克罗列了被感染的设备型号:

Linksys E1200

Linksys E2500

Linksys WRVS4400N

Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072

Netgear DGN2200

Netgear R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

Netgear WNR2000

QNAP TS251

QNAP TS439 Pro

其它运行QTS软件的QNAP NAS 设备

TP-Link R600VPN

网件、Linksys等公司建议用户确保路由产品已经升级到最新的固件版本来抵御此次网络攻击。

乌克兰或再遭网络攻击

思科表示,VPNFilter 恶意软件的代码与2015年及2016年破坏乌克兰电网的恶意软件 BlackEnergy 存在重叠之处,该恶意软件或与俄罗斯黑客组织有关,且有可能在近期发起针对乌克兰的大型黑客攻击。

多国曾指责俄罗斯就是 NotPetya 勒索软件攻击的幕后黑手。此外,有人认为“坏兔子”勒索软件也出自俄罗斯之手,它们的主要目标均是乌克兰。

外媒报道,俄罗斯黑客可能或蓄谋再次对乌克兰发动网络攻击,这一次可能会使用由大量路由器组建的僵尸网络。

近期被感染设备激增

被恶意软件 VPNFilter 感染的设备组成的个僵尸网络可追溯至2016年,但研究人员表示,该网络僵尸网络最近几个月才开始大肆扫描设备,规模也在短期内得以迅速扩大。思科表示该僵尸网络的操纵者过去几周一直在重点感染乌克兰的路由器和 IoT 设备,甚至创建了专门的命令与控制服务器(C&C 服务器)管理这些乌克兰“肉鸡”。

目前尚不清楚攻击者的意图所在,随着该僵尸网络的行动加快,很快将会爆发一起攻击,但思科担心,其最可能瞄准的目标可能是乌克兰近期即将举办的重大活动。

或瞄准乌克兰大型活动

UEFA 欧洲冠军联赛决赛将于2018年5月26日在乌克兰首都基辅拉开序幕。

乌克兰的宪法日(6月28日)也可能会是攻击发生之时,而2017年这个时候正是 NotPetya 攻击的发动日期。

恶意软件攻击三步走

第一阶段:由最轻量级的恶意程序感染设备,并获得启动持久性。几周前,罗马尼亚安全专家披露,第一款在设备重启后仍能存活的 IoT 恶意软件“捉迷藏”(HNS)。赛门铁克发布的一份报告指出,用户可执行所谓的“硬重置”(即恢复出厂设置)来移除第一阶段的恶意软件。

第二阶段:VPNFilter 的恶意软件模块虽然无法在设备重启后存活,但它可以在用户重启设备时依靠第一阶段的模块重新下载该模块。第二阶段的主要作用是支持第三阶段的插件架构。

思科称,目前为止已发现了第三阶段的插件功能,包括:

嗅探网络数据包并拦截流量;

监控是否存在 Modubus SCADA 协议;

通过 Tor 匿名网络与 C&C 服务器通信

思科怀疑,VPNFilter 的操纵者已经创建了其它模块,只是目前尚未部署。

VPNFilter 是一款擦除器

虽然 VPNFilter 第二阶段的模块并不具有启动持久性,但这个阶段的模块最危险,因为它包含自毁功能,可覆写设备固件的关键部分并重启设备,从而导致设备不可用 ,因为启动设备所需的代码已被乱码替换。

思科的研究人员在报告中指出,大部分受害者无法恢复这一操作,它要求受害者具备普通消费者一般不具备的技术能力、知识或工具。

VPNFilter 的主要用途

从目前来看,攻击者可能会利用 VPNFilter 开展如下行动:

监控网络流量并拦截敏感网络的凭证;

监控流向SCADA设备的网络流向,并部署专门针对工业控制系统基础设施的恶意软件;

利用该僵尸网络的“肉鸡”隐藏其它恶意攻击的来源;

使路由器瘫痪,导致乌克兰大部分互联网基础设施不可用。

思科表示目前正在和公私实体合作识别被 VPNFilter 感染的设备,并在攻击发动之前将其消灭。乌克兰特勤局已发布安全预警。

FBI 已控制 VPNFilter 僵尸网络一台重要的服务器

2018年5月23日美国政府表示,将寻求出手解救被黑客入侵并控制的数十万受感染的路由及存储设备。

持有法院命令的美国联邦调查局(FBI)特工已控制了该僵尸网络一台重要的服务器,发现了该僵尸网络的受害者,并重挫了该僵尸网络再次感染目标的能力。TheDailyBeast 报道指出,VPNFilter与俄罗斯黑客组织Fancy Bear(又名APT28)有关。

法庭记录显示,FBI 自2017年八月以来一直在调查 VPNFilter 僵尸网络,当时 FBI 特工向美国匹兹堡一名受害者(家用路由器遭感染)了解了情况。这名受害者自愿将路由器交给了 FBI 特工,还允许 FBI 利用其家用网络上的网络分流器观察网络流量。

设备重启后可摆脱控制

FBI 利用受害者提供的这些素材识别出这款恶意软件的一个关键弱点:如果受害者重启被感染的路由器,恶意插件就会全部消失,只有这款恶意软件的核心代码存活下来。核心代码经过重新编程能通过互联网连接到黑客部署的 C&C 服务器。核心代码首先会检查托管在 Photobucket(热门的图片网站)网站上、在元数据中隐藏信息的特定图片。如果核心代码无法找到这些图片(事实上已从Photobucket 删除),它就会转向硬编网址 ToKnowAll[.]com 的应急备份控制点。

5月22日,匹兹堡的 FBI 特工要求该地联邦法官下达命令,以让域名注册公司 Verisign 将 ToKnowAll[.]com 地址移交给 FBI,以进一步展开调查,破坏该僵尸网络相关的犯罪活动,并协助补救工作。法官同意了 FBI 的要求,FBI 5月23日接管了该域名。

赛门铁克公司的技术总监维克拉姆·塔库尔表示,此举可有效扼杀这款恶意软件重启后恢复活动的能力。VPNFilter 恶意软件的 Payload 本身不具有持久性,因此在路由器重启后亦无法存活,普通消费者可重启路由器阻止这类网络攻击。

FBI 正在收集被感染路由器(向ToKnowAll[.]com通信)的互联网 IP 地址,FBI 可利用 IP 信息清理该僵尸网络的感染。

塔库尔指出,FBI 可追踪遭遇感染的受害者,并将此类信息提供给当地互联网服务提供商。部分互联网服务提供商有能力远程重启路由器,其它这类提供商可通知用户,敦促其重启设备。他表示,从技术角色来看,VPNFilter 不会向 FBI 发送受害者的浏览历史或其它敏感数据。它的威胁能力纯粹要求额外的 Payload。被感染的路由器目前没有将数据泄露给 ToKnowAll[.]com。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 路由器
    +关注

    关注

    22

    文章

    3754

    浏览量

    114698
  • 思科
    +关注

    关注

    0

    文章

    300

    浏览量

    32291
  • 网络攻击
    +关注

    关注

    0

    文章

    331

    浏览量

    23557

原文标题:54个国家大量路由器被僵尸网络VPNFilter控制

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    相关推荐

    低端路由器和高端路由的区别

    ,IP包除了包括要传送的数据信息外,还包含有信息要发送到的目的IP地址、信息发送的源IP地址、以及一些相关的控制信息。当一路由器收到一个IP数据包时,它将根据数据包中的目的IP地址项查找路由表,根据
    发表于 06-26 14:11

    工业路由器路由环路

    在工业路由器网络中,并不是所有传输是通畅无阻的,会产生路由重分布、路由环路等等现象。当数据报在一系列路由器之间不断循环或往返传输却始终无法到达其预期目标网络的一种现象,称之为
    发表于 10-22 09:43

    路由器,路由器原理,路由器协议,路由器算法

    路由器,路由器原理,路由器协议,路由器算法 路由器:连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路
    发表于 03-29 17:44 1428次阅读

    路由器,宽带路由器

    路由器,宽带路由器 路由器定义 所谓“路由”,是指把数据从一个地方传送到另一个地
    发表于 04-03 14:19 980次阅读

    什么是软件路由器/高端路由器

    什么是软件路由器/高端路由器 软件路由器 路由器是网络中的核心设备。硬件路由器是大家所熟悉的,最典
    发表于 04-03 14:21 688次阅读

    2路由器的无线桥接

    路由器的无线桥接的设计方案
    发表于 11-09 17:45 236次下载
    2<b class='flag-5'>台</b><b class='flag-5'>路由器</b>的无线桥接

    教你连接两个路由器

    连接两个路由器有二种连接方法。首先定义你的二路由器,第一为A路由器,第二为B
    发表于 12-19 15:55 2889次阅读

    路由宣布推出全球首台区块链路由器--极X

    去年底,极路由宣布推出全球首台区块链路由器——极X。同时发布“极X计划”,200在线路由器将升级为区块链
    发表于 01-16 18:58 1674次阅读
    极<b class='flag-5'>路由</b>宣布推出<b class='flag-5'>全球</b>首台区块链<b class='flag-5'>路由器</b>--极X

    思科安全预警:黑客利用恶意软件,50路由器已遭殃

    5月24日报道,思科公司周三发布安全预警称,黑客利用恶意软件,已感染几十个国家的至少50路由器和存储设备。据思科研究人员克雷格·威廉姆斯(Craig Williams)称,思科T
    发表于 06-25 16:26 763次阅读
    思科安全预警:黑客利用恶意软件,<b class='flag-5'>50</b><b class='flag-5'>万</b><b class='flag-5'>台</b><b class='flag-5'>路由器</b>已遭殃

    路由器的作用

    从过滤网络流量的角度来看,路由器的作用与交换机和网桥非常相似。但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如,一支持IP协议的
    的头像 发表于 03-19 16:06 1.6w次阅读

    中国移动拟采购低端路由器和低端交换机规模共计15

    日前,中国移动发布2020-2021年低端路由器和低端交换机集采项目公告,拟采购低端路由器及低端交换机规模共计15,采购满足期为1年。
    发表于 12-17 10:30 794次阅读

    无线路由器如何串联

    无线路由器的物理连接: 先确定一路由,也就是负责宽带拨号和分配IP地址的路由,然后用网线将两
    的头像 发表于 01-05 03:25 1.8w次阅读

    黑客泄露大量数据,涉及超50台服务器和物联网设备

    黑客本周发布了大量的Telnet密码数据,这些密码用于超过50台服务器、家用路由器和IoT(物联网)智能设备。
    发表于 04-27 15:08 1174次阅读

    智能路由器和普通路由器的区别

    智能路由器和普通路由器是基于不同的技术原理和功能设计的网络设备,它们在性能、功能和用户体验等方面存在着明显的区别。下面将详细介绍智能路由器和普通路由器的区别。 一、技术原理: 智能
    的头像 发表于 12-26 14:26 1878次阅读

    华为路由器发货量超1亿

    华为路由器发货量超1亿 华为终端官宣华为路由器发货量超1亿。 根据华为终端官方微博发布的数据显示,截至到2024年第一季度,华为路由器
    的头像 发表于 05-22 11:56 1020次阅读