原文地址:https://www.hackeye.net/securityevent/16539.aspx
VPNFilter 是一种高度模块化的多阶段恶意软件,它已经感染了全球数十万个网络设备,功能和破坏性都较为强大。思科最近在原来分析的基础上,另外发现了七个第三阶段VPNFilter模块,这些模块为恶意软件增加了重要功能,例如扩展了在受损网络设备上使用终端设备的能力。新功能还包括数据过滤和多重加密隧道功能,以屏蔽命令和控制(C2)和数据过滤流量等。(回顾:VPNFilter威胁升级,华为、中兴产品亦受影响;VPNFilter恶意软件未引起重视,受影响设备被发现仍存在漏洞)
自研究人员首次发现恶意软件以来,他们发现VPNFilter 破坏力越来越强,这些额外的VPNFilter第三阶段模块的发现大大增加了我们对已知威胁的理解。这些模块共同增加的功能有:
- 可用于映射网络和利用连接到VPNFilter受损设备的端点系统的附加功能
- 威胁行为者混淆和/或加密恶意通信的多种方式,如C2和数据过滤的通信
- 可以利用多种工具识别其他受害者,这些受害者可以通过VPNFilter在网络内横向移动的设备上从攻击者的立足点获取,以及识别演员感兴趣的其他网络中的新边缘设备
- 构建分布式代理网络的能力,可以在未来不相关的攻击中加以利用,从而提供一种模糊攻击流量的真正来源的方法,从而使攻击看起来像是来自以前受到VPNFilter攻击的设备。
新模块
“htpx”、“ndbr”、“nm”、“netfilter”、“portforwarding”、“socks5proxy”和“tcpvpn”七个模块的功能各有不同。
“nm”模块为恶意软件的武器库增加了一项重要功能:它被用来扫描和映射受感染设备的本地网络上的其他设备。下载后,模块将ICMP echo请求设置为受感染主机,然后该主机将尝试通过端口扫描映射网络。例如,它已经利用MikroTik网络发现协议(MNDP)确定本地网络上的任何其他MikroTik设备——如果MikroTik设备回复ping,该模块将提取其MAC地址,系统标识、版本号、平台类型,以秒为单位的正常运行时间,RouterOS软件ID,RouterBoard模型和接口名称。
“htpx”是一个端点开发模块,支持可执行的注入。该模块主要检查HTTP通信并标识Windows可执行文件的存在——一旦检测到这些文件,模块就会标记它们。研究人员分析,攻击者可以利用这个模块下载二进制有效载荷,并允许在Windows可执行程序通过受损设备时,对其进行实时修补。
心版本的VPNFilter还携带了一个被称为netfilter的拒绝服务模块,研究人员推测,这个模块的设计可能是为了拒绝访问特定形式的加密应用程序,可能是为了试图让受害者与一个服务进行通信供他们首选使用。研究者注意到,他们分析的样本中包含了168个IP地址,这些地址与WhatsApp、腾讯和亚马逊(Amazon)等加密应用程序有关。
该恶意软件还包含了其他一些棘手的模块,比如“ndbr”,这是一个多功能的安全套接字SSH工具,可以对其他ip进行端口扫描。将网络流量转发到攻击者指定的基础设施的“portfowarding”工具;“tcpvpn”,在受损设备上建立反向tcpvpn;以及“socks5proxy”,它支持在受感染的设备上建立SOCKS5代理。
未解之谜
VPNFilter恶意软件的幕后黑手至今仍未明晰,但早在5月时,思科就分析背后很有可能有政府势力支持或参与;攻击者在首次攻击时如何获得初始访问权限,幕后黑手是否试图重建访问。
无论答案如何,都不难看出VPNFilter的开发者能力卓越,并且不断致力于以多种方式实现目标,VPNFilter的开发和使用仍将不断优化并投入使用,这对受害者来说无疑是一个噩耗。