客服热线:00000000000

关于VPNFilter恶意软件

后台-系统设置-扩展变量-手机广告位-内容广告位一

  研究人员报告了一种新的模块化恶意软件系统,该系统至少感染了五十万个网络设备,FBI抓住了一个关键域,作为恶意软件命令和控制基础设施的备份。

关于VPNFilter恶意软件

  这种被称为VPNFilter的新恶意软件被发现感染了来自几个不同供应商的小型办公室和家庭办公室(SOHO)路由器以及网络附加存储(NAS)设备。思科Talos的研究人员在调查完成之前发现了恶意软件并公布了他们的初步结果,以便用户更好地保护他们的利益免受他们认为是由国家威胁演员赞助或附属的攻击。

  “这项行动的规模和能力都令人担忧。与我们的合作伙伴合作,我们估计至少有54个国家的受感染设备数量至少为50万,”思科Talos威胁研究员William Largent写道。“这种恶意软件在网络设备上的行为特别令人担忧,因为VPNFilter恶意软件的组件允许窃取网站凭据并监控Modbus SCADA协议。”

  除了这些威胁之外,研究人员还确定VPNFilter还“具有破坏性功能,可以使受感染的设备无法使用,可以在个人受害机器上集体触发,并且有可能切断成千上万的互联网访问世界各地的受害者。“

  思科Talos 表示, VPNFilter恶意软件“是一个多阶段的模块化平台,具有支持智能收集和破坏性网络攻击操作的多种功能。” 恶意软件的第一阶段在其感染的物联网设备上持久存在,并为部署的恶意软件的第二阶段提供机制。VPNFilter恶意软件的第二阶段仅在内存中保留,可以通过重新启动受影响的系统来缓解,但删除感染的第一阶段更加困难。

  提供VPNFilter恶意软件第二阶段的主要方法是通过可更改图像文件(EXIF)元数据中标识的IP地址,以存储在Photobucket网站上的图像。

  研究人员确定VPNFilter 命令和控制(C&C)基础设施使用备份域“ toknowalI.com ”,如果识别C&C服务器的主要方法不可用,则将第二阶段的恶意软件传递给受感染设备。通过沉没僵尸网络C&C服务器 - 将流量从受感染的僵尸网络设备重定向到C&C控制器 - FBI能够减少来自该活动的威胁。

  司法部介入

  在美国宾夕法尼亚州西部检察官办公室获得法院命令授权FBI抓住VPNFilter恶意软件的命令和控制基础设施所使用的域名后,该域名被没收。

  负责国家安全事务的助理检察长约翰·德默斯在司法部宣布 “这次行动是破坏僵尸网络的第一步,该僵尸网络为Sofacy演员提供了一系列可用于各种恶意目的的功能,包括收集情报,窃取有价值的信息,破坏性或破坏性的攻击以及此类活动的错误分配。“

  司法部将这次袭击归咎于Sofacy集团,后者也被称为APT28,Pawn Storm,Fancy Bear和其他别名。

  关于VPNFilter恶意软件

  思科Talos报告称,供应商受到VPNFilter的影响,包括Linksys,MikroTik,Netgear和TP-Link SOHO路由器和网络设备,以及QNAP网络附加存储(NAS)设备。

  研究人员将恶意软件的相似性归咎于以前的活动中针对乌克兰设备的BlackEnergy恶意软件,以及新的恶意软件以“惊人的速度”攻击乌克兰的系统,其中C&C基础设施“专用于该国家”。

  Cisco Talos建议设备所有者重新启动设备,将其重置为出厂设置,并下载并安装最新的设备修补程序。司法部指出,虽然“设备在连接到互联网时仍然容易受到第二阶段恶意软件再感染的影响,但这些努力最大限度地提高了在Sofacy参与者了解其命令漏洞之前可用时间内识别和修复全球感染的机会 - 和控制基础设施。“

后台-系统设置-扩展变量-手机广告位-内容广告位二

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。