惡意軟件「VPNFilter」影響全球網絡設備
發佈日期: 2018年05月24日
4605 觀看次數
圖片提供:Talos
安全研究團隊Talos發佈了一份關於潛在破壞性惡意軟件「VPNFilter」的調查報告。該報告指出至少在54個國家現發不少於500,000個家用路由器和網絡附加儲存設備(NAS)感染了此類型惡意軟件[1]。
根據報告,以下是已知受惡意軟件影響的設備 (更新於:2018年6月7日):
- ASUS: RT-AC66U,RT-N10,RT-N10E,RT-N10U,RT-N56U,RT-N66U
- D-LINK: DES-1210-08P,DIR-300,DIR-300A,DSR-250N,DSR-500N,DSR-1000,DSR-1000N
- HUAWEI: HG8245
- Linksys: E1200,E2500,E3000,E3200,E4200,RV082,WRVS4400N [修補程式資訊]
- Mikro Tik: CCR1009,CCR1016,CCR1036,CCR1072,CRS109,CRS112,CRS125,RB411,RB450,RB750,RB911,RB921, RB941,RB951,RB952,RB960,RB962,RB1100,RB1200,RB2011,RB3011,RB Groove,RB Omnitik,STX5 [修補程式資訊]
- Netgear:DG834,DGN1000,DGN2200,DGN3500,FVS318N,MBRN3000,R6400,R7000,R8000,WNR1000,WNR2000,WNR2200,WNR4000,WNDR3700,WNDR4000,WNDR4300,WNDR4300-TN,UTM50 [修補程式資訊]
- QNAP NAS:TS251,TS439 Pro,其他運行QTS軟件的QNAP NAS設備 [修補程式資訊]
- TP-Link: R600VPN,TL-WR741ND,TL-WR841N [修補程式資訊]
- UBIQUITI: NSM2,PBE M5
- UPVEL: 尚且不知具體型號
- ZTE: ZXHN H108N
這些設備被廣泛應用於家居、小型或家庭辦公室(SOHO)以及中小企。其中大部分設備在香港消費市場上銷售。
受感染後的影響
該報告指出,VPNFilter惡意軟件背後的攻擊者利用受感染的設備建立網絡攻擊他人,例如使用受感染的設備作為跳板訪問目標,或監控路經受感染設備的網絡通訊。
此惡意軟件最具破壞性的影響是攻擊者可以發出「kill」指令破壞受感染的設備,繼而中斷設備持有者及其用戶的互聯網連線。如果發生這種情況,用戶可能需要技術支援才能恢復其互聯網連線。
給設備持有者的建議
為了減少受VPNFilter惡意軟件感染或影響的風險,我們建議:
- 若設備供應商已發佈保安更新,應立即安裝。
- 目前沒有便捷的方法來檢測設備是否受到感染。如果你擔心受感染及供應商未提供保安更新,唯一的防禦方法是將你的設備重置為出廠設置並重新啟動。請注意,在執行重置之前,你應該做好備份工作或記下當前配置,因為重置後它們會被刪除。
- 應使用高強度密碼取代管理介面的預設密碼[3]。
- 禁止通過互聯網訪問設備管理介面。
- 若用戶處理路由器或安裝更新時遇到困難,請聯絡設備供應商尋求協助。
- 對於聘請了IT人員/供應商的機構,如果你擁有防火牆或IPS等保護設施,則可以加入由Talos發布的Snort 規則或IOC (請參考文末連結)。如果你有設置SIEM系統,則可以監測網絡內曾否與報告中列出的C2伺服器進行通訊[1]。
參考資料
[1] https://blog.talosintelligence.com/2018/05/VPNFilter.html
分享至