VPNFilter更新-VPNFilter攻击终端并瞄准新设备-Cisco.PDFVIP

2018 年 6 月 6 日，星期三 VPNFilter 更新 - VPNFilter 攻击终端并瞄准新设备 引言 思科 Talos 与多家情报合作伙伴共同发现了有关“VPNFilter”的更多详细信息。在 我们最初发布活动调查结果的几天里，我们已发现 VPNFilter 所瞄准的设备品牌/型 号比最初想象得更多，而且还具有其他的功能，例如向终端进行攻击的能力。Talos 最近发布了一篇博客，其主题关于在小型家庭办公网络设备以及网络连接存储设备 中部署 VPNFilter 的广泛活动。正如我们在这篇帖文中所述，我们对于这一威胁的 研究是持续性的。发布这篇帖文之后，我们拥有了许多合作伙伴，他们提供了更多 的信息来帮助我们开展此项工作。这篇帖文是过去一周内我们的最新调查结果。 首先，我们确定了此攻击者还瞄准其他设备，包括目标列表中新出现供应商的一些 设备。这些新供应商包括 ASUS 、D-Link、华为、Ubiquiti、UPVEL 和中兴。另 外还发现了 Linksys、MikroTik、Netgear 和 TP-Link 的新设备。我们目前的研究 表明，没有任何思科网络设备受到影响。下面提供了更新的设备列表。 我们还发现了一个新的第3 阶段模块，它可在通过网络设备时向网络流量中注入恶 意内容。在最初发布时，我们并没有掌握关于可疑第 3 阶段模块的所有信息。新模 块允许攻击者通过中间人功能向终端进行攻击 （例如，它们可以在用户不知晓的情况 下拦截网络流量并向其中注入恶意代码）。通过这一新的发现，我们可以确认，威胁 已超过攻击者在网络设备本身执行操作的范畴，它可以将威胁扩展到受侵害网络设备 所支持的网络中。我们在下面提供了此模块 （称为 “ssler”）的技术详情。 此外，我们还发现了另一个第3 阶段模块，其中提供了任何缺乏用于禁用设备的 kill 命令功能的第 2 阶段模块。在执行时，此模块特意从设备中删除VPNFilter 恶意软件 的痕迹，然后致使设备无法可用。下面还提供了此模块 （称为 “dstr”）的分析。 最后，我们对第 3 阶段数据包嗅探器进行了进一步研究，包括深入分析它如何寻 找 Modbus 流量。 技术详情 新的第 3 阶段模块 “Ssler”（终端漏洞攻击模块 JavaScript 注入） ssler 模块 （读作“Esler”）通过拦截通过设备且流往端口 80 的所有流量来提供 数据泄漏和 JavaScript 注入功能。预计此模块将使用参数列表执行，参数列表决 定了模块的行为以及应瞄准的网站。第一个定位参数控制设备中应存储被盗数据的 文件夹。其他指定参数的用途如下： • dst ：- 所创建的 iptables 规则使用该参数来指定目标 IP 地址或者应该应 用此规则的 CIDR 范围。 • src ：- 所创建的 iptables 规则使用该参数来指定源 IP 地址或者应该应用 此规则的 CIDR 范围。 • dump ：- dump 参数中所传递的所有域会将其所有 HTTP 头记录在 reps_*.bin 文件中。 • site ：- 当某个域通过 “site”参数提供时，此域会使其网页成为 JavaScript 注入目标。 • hook ：- 此参数确定所注入 JavaScript 文件的 URL。 ssler 模块所采取的第一个操作是配置设备的 iptables ，以将流往端口 80 的所有 流量重新定向到在端口 8888 上监听的本地服务。它首先使用 insmod 命令将三 个 iptables 模块插入内核（ip_tables.ko、iptable_filter.ko、iptable_nat.ko），然 后执行以下 shell 命令： • iptables -I INPUT -p tcp --dport 8888 -j ACCEPT • iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8888 • 示例：./ssler logs src:/24 dst:/16 -A PREROUTING -s /24 -d /16 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8888 注意：为了确保这些规则不被删除，ssler 会先将其删除，然