VPNFilter 物联网僵尸网络深度分析报告.pdf

VPNFilter物联网僵尸网络

深度分析报告

北京六方云科技有限公司

二〇一八年六月

1

让万物安全互联

VPNFilter物联网僵尸网络深度分析报告

一、事件简述

北京时间5月23日晚，思科公司发布安全预警称，俄罗斯黑客利用恶意软件

VPNFilter，已感染全球几十个国家的超过500,000台路由器和存储设备，包括

LinkSyS、Mikrotik、Netgear、QNAP、TP-Link、DP-Link以及国产路由器华为、

中兴等设备，该攻击是一起以入侵物联网为载体从事可能由国家发起的全球性的

高级恶意软件攻击。研究结果表明，VPNFilter是一个通过IoT设备漏洞组建

Botnet，多阶段(难以溯源与检测)，多平台(支持MIPS、x86、ARM等主流架构)，

模块化(分工明确)，多功能(可扩展性强)的恶意网络攻击行动，高度模块化的框

架允许快速更改操作目标设备，同时为情报收集和寻找攻击平台提供支撑。

VPNFilter恶意软件瞄准的设备类型主要为小型办公和家庭办公环境中的网络

设备和存储设备，这些设备经常出现在网络外围，一般没有部署入侵防护系统

(IPS)，也通常没有可用的基于主机的防护系统，如反病毒(AV)系统，而且大多

数的类似目标设备，特别是运行旧版本的，都有公开的漏洞或默认口令，黑客可

利用默认口令或弱口令爆破以及漏洞组合来达到入侵目的。为此，一直致力于工

控与物联网安全的六方云超弦攻防实验室决定对此事件进行深入跟踪与深度分

析。

二、影响面和危害分析

攻击者能够利用该间谍软件来控制并监视处于工控网络、办公环境中的各种网络

设备(包含路由器、网关、防火墙以及其他的物联网设备等)，其支持工控网络情

报收集(监控ModbusSCADA协议)、Web登录凭证截获、流量篡改(中间人攻击)、

定向JS注入、设备破坏性攻击等功能，从物联网到工业控制关键基础设施(国家

电网、能源机构等)都有涉足，影响面十分广泛。

VPNFilter破坏性较强，可以通过烧坏用户的设备来完全清理感染痕迹，比简单

地删除恶意软件痕迹更深入，同时该恶意软件利用感染的成千上万路由器作为节

点组建大型物联网僵尸网络，一旦发动破坏攻击，可能导致成千上万的设备脱机

无法正常使用，促成大规模的中断，造成国家严重混乱！

三、解决方案

针对此次威胁的严重性，六方云超弦攻防实验室给所有用户的防护建议如下：

1：重启路由器并重装路由器或网络存储设备固件，并升级至最新版本

2：备份数据，恢复设备出厂设置

3：修改设备密码为强密码，避免为管理员账户使用默认密码，建议数字、字母

六方云让万安全物互联2

让万物安全互联

与特殊符号组合使用,加强安全性

4.及时更新设备补丁，避免存在公开漏洞

5:设置防火墙并禁用路由器远程管理

6:部署IPS入侵检测系统或安装防病毒软件并使用研究人员提供的VPNFilter

相关的特征库和规则

四、技术分析

该僵尸网络目前由3个阶段的恶意组件构成：

阶段1主要是一个Loader(启动器),用来感染设备并获得启动持久性，下载阶段

2组件并执行

阶段2主要是远程控制命令分发与执行(利用Tor网络隐蔽通信)

阶段3主要是扩展组件，目前包括3个核心模块，用于流量嗅探与破坏设备等

为方便读者理解此次攻击事件，我们特地绘制了如下攻击流程图:

阶段一(Loader):

木马运行起来后先调用sys_fork来创建子进程，清理进程资源限制（关闭从父

进程继承而来的各种文件，避免系统资源浪费，因为后面样本自身行为也会占用

大量CPU）通过系统调用sys_umask（027o）设置子进程权限掩码进而修改自身

权限为666–(027–1)640(-rw-r)，即自身可读写，同组用户可读，

其他用户无任何权限：

六