VPNFilter路由器恶意软件新增7个网络攻击模块

归因于俄罗斯的APT 28，也被称为“花式熊”VPNFilter是一个恶意软件平台，旨在感染来自75个品牌的路由器和网络连接存储设备，包括Linksys、MikroTik、Netgear、TP-Link、QNAP、华硕、D-Link、华为、中兴、泛素和UPVEL。

今年5月，当VPNFilter感染了54个国家的50万台路由器和NAS设备时，FBI查封了该恶意软件使用的一个关键命令和控制域，并要求人们重新启动路由器。
最初，人们发现VPNFilter内置了多个攻击模块，这些模块可以部署到受感染的路由器上，以窃取网站凭据并监控工业控制或SCADA系统，如电网、其他基础设施和工厂中使用的系统。

然而，在思科Talos Intelligence security团队发布的一份新报告中，研究人员表示，他们深入研究了最近的VPNFilter样本，发现了七个新的“第三阶段”模块，甚至可以利用受感染路由器连接的网络进行攻击，最终允许攻击者窃取数据，并为其命令和控制服务器创建一个隐蔽网络，以备将来的攻击。

什么是VPNFilter路由器恶意软件？

在详细介绍七个新的第三阶段模块之前，让我们先了解一下这个多阶段VPNFilter恶意软件的基础设施。

与针对路由器的大多数其他恶意软件不同，VPNFilter恶意软件的第一阶段设计为通过重新启动持续存在，在受感染的设备上获得持久立足点，并支持第二阶段恶意软件的部署。

VPNFilter的第二阶段模块不是持久的，其目的是将其他模块下载到受感染的路由器上。该模块还包含一个killswitch，恶意软件在其中故意自杀，使受感染的路由器变得无用。
VPNFilter的第三阶段由一些模块组成，这些模块旨在扩展第二阶段的功能，如数据包嗅探器、通过Tor匿名网络进行通信，以及利用JavaScript注入将信息传送到受损设备。

新发现的VPNFilter模块列表

现在，以下是Talos研究人员最近发现的七个新的第三阶段模块的列表，它们为VPNFilter恶意软件添加了重要的新功能：

• htpx—此模块重定向并检查HTTP通信，以识别网络流量中是否存在Windows可执行文件。研究人员有适度的信心相信，攻击者可以利用该模块在二进制文件通过受损设备时，动态地将恶意代码注入其中。

• ndbr—此模块是一个多功能安全外壳（SSH）实用程序，远程攻击者可以利用它将受损设备转换为SSH服务器、SSH客户端或NMAP端口扫描程序。使用SCP协议，ndbr实用程序还可以允许文件传输。

• nm—这是一个网络映射模块，可用于从受损设备执行侦察。除此之外，它还使用MikroTik网络发现协议（MNDP）定位本地网络上的任何其他MikroTik设备。

• netfilter—该模块是一个拒绝服务实用程序，允许攻击者将IPtables规则设置到防火墙中，并阻止网络地址集。

• portforwarding—该模块将网络流量转发到指定的基础设施，允许攻击者拦截网络连接。

• 袜子5Proxy—该模块在受损设备上设置SOCKS5代理，允许攻击者构建一个分布式代理网络，以便在未来的攻击中加以利用。它不使用身份验证，并且硬编码为在TCP端口5380上侦听。

• tcpvpn—该模块在受损设备上设置反向TCP VPN，允许远程攻击者访问受感染设备后面的内部网络。

除了这7个新模块外，塔洛斯还发现攻击者正在使用名为Winbox—的MikroTik管理实用程序；一个小型的本机Win32实用程序，允许管理员使用基于Web的界面轻松设置路由器；感染MikroTik路由器。

塔洛斯研究人员发布Winbox协议剖析器“GitHub上的插件，让网络工程师检测和分析Winbox流量，使用类似Wireshark的工具捕获，并监控被利用的Mikrotik协议的使用。

由于用户可以通过重新启动路由器来摆脱第二阶段的攻击，第一阶段仍然落后，使得攻击者可以重新建立与重新启动的设备的连接，并远程重新安装第二阶段的VPNFilter。

谢天谢地，研究人员相信VPNFilter已经完全被中和，但是，很难知道创建这个复杂的多阶段一体式恶意软件包的威胁参与者的未来意图。

最初，塔洛斯的研究人员对俄罗斯政府是VPNFilter的幕后黑手抱有很大信心，因为恶意软件代码与BlackEnergy；美国认为，对乌克兰的多起大规模攻击负有责任的恶意软件，但最近的报告并未提及此类指控。