思科Talos报道称,一款名为VPNFilter的恶意软件正对准 更多的路由器装备 生产商和型号 ,而且 拥有更加强 大的粉碎 力,包罗 向终端发送弊端 信息,以及无视装备 重启。
刚开始 ,Talos团队发现VPNFilter已经感染了54个国家的至少50万台网络装备 ,此中 大多数都是斲丧 者级别的互联网路由器 。
到本年 5月24日,受到该恶意软件影响的装备 大多是小型家居办公室的网络装备 ,受到影响的装备 品牌包罗 Linksys、MikroTik 、Netgear、和TP-Link,以及威联通科技有限公司的网络附加存储装备 。
Talos团队在其最新的一条博客中更新了受到感染的装备 列表,包罗 华硕、D-Link 、华为、Ubiquiti、Upvel和复兴 。
他们还在Linksys 、MikroTik、Netgear和TP-Link品牌的网络装备 中发现了更多受到感染的型号 ,但是这个思科旗下的公司说思科的网络装备 并没有受到影响 。
除了在列表中更新受到感染的装备 ,Talos团队称他们在“第三阶段”中发现了一个名为“ssler ”的模块,可以或许 在其颠末 网络装备 时 ,向网络流量注入恶意内容,使得“入侵者”(actor)通过“中心 人攻击”(man-in-the-middle)向终端发送弊端 信息。
博客上表明 道:“通过这一新的发现,我们可以或许 确定恶意软件的威胁本领 远远高出 ‘入侵者’本身 对网络装备 的影响,而且 会将这个威胁扩散到网络装备 所支持的网络中。 ”
固然 在Talos团队报道之后 ,美国联邦观察 局就督促对小型办公室大概 家用路由器装备 举行 重启,但是这个并不能制止 这一软件的威胁,纵然 是在重启之后 ,ssler也会触发恶意软件,在受感染的装备 上天生 顽固的恶意内容 。
Ssler可以或许 通过拦截全部 颠末 端口80装备 的流量,并参加 Java ,从而向毗连 到受感染的网络装备 发送恶意代码。Talos团队盼望 利用 参数列表来实行 ssler模块,这一列表可以或许 决定模块有哪些恶意举动 以及应该将哪些网站作为目标 。
研究职员 表明 道:ssler会拦截全部 端口80上的外部网络哀求 ,而且 在发送到合法 的HTTP服务之前 ,这些网络哀求 都会受到监控 。
Talos团队也发现了另一个第三阶段的模块,装备 粉碎 模块(dstr),即可以或许 为缺少封杀装备 下令 的第二阶段提供禁用装备 的本领 。
它可以或许 在“自毁”后触发封杀路由器装备 的下令 ,然后删除剩下的相干 文件,从装备 中删除VPNFiler恶意软件的冗余文件,然后让装备 无法利用 。
Talos团队称,新的发现表明VPNFilter所带来的威胁愈加严厉 。
研究职员 写道:“除了在别的 目标 装备 和供应商发现这一威胁的影响范围广之外 ,以及恶意软件的支持端点装备 开辟 本领 ,使得这一恶意软件不但 仅会威胁到装备 本身 ,而且也会威胁这些装备 支持的网络。”
“假如 乐成 的话 ,‘入侵者’就可以或许 在环境 中摆设 任何想要摆设 的功能,从而实现他们的攻击目标 ,包罗 摆设 rootkits、数据泄漏 功能以及具有粉碎 本领 的恶意软件。 ”
Known infected devices include:
如今 已知受感染的装备 型号包罗 :
华硕: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U和 RT-N66U.
D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000和DSR-1000N;
华为: HG8245;
Linksys: E1200, E2500, E3000 E3200, E4200, RV082和WRVS4400N;
Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik和STX5;
Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN和UTM50;
QNAP: TS251, TS439 Pro和别的 运行QTS 软件的威联通科技有限公司的网络附加存储装备 ;
TP-Link: R600VPN, TL-WR741ND和TL-WR841N;
Ubiquiti: NSM2和PBE M5;
复兴 : ZXHN H108N。
攻击Upvel的恶意软件也被发现 ,但是厂商并未对这些装备 举行 隔离 。
原文作者:Asha McLean
编译:信息化观察网
A professional permanent Hong Kong space provider!
蜀ICP备2024069684号 Powered By 小孩姐. Theme By EscSeo学习网
