VPNFilter恶意软件的破坏性和MiTM功能被揭露

思科Talos cyber intelligence的安全研究人员今天发现了关于VPNFilter恶意软件的更多细节。VPNFilter恶意软件是一种先进的物联网僵尸网络恶意软件，感染了至少54个国家的50多万台路由器，使攻击者能够监视用户，并进行破坏性的网络操作。

起初，人们认为恶意软件的目标是来自Linksys、MikroTik、NETGEAR和TP Link的路由器和网络连接存储，但研究人员进行的更深入的分析显示，VPNFilter还攻击华硕、D-Link、华为、泛素、QNAP、UPVEL和中兴制造的设备。
研究人员说：“首先，我们已经确定这些设备是这个参与者的目标，包括一些新加入目标名单的供应商。这些新供应商是。Linksys、MikroTik、Netgear和TP Lin也发现了新设备”。

为了劫持由上述受影响供应商制造的设备，恶意软件只依赖于公开的漏洞或使用默认凭据，而不是利用零日漏洞。

VPNFilter“ssler”和中间人攻击模块

除此之外，研究人员主要分享了名为“ssler”的新的第3阶段模块的技术细节。ssler是一种先进的网络数据包嗅探器，如果安装了该嗅探器，黑客可以拦截通过受感染路由器的网络流量，并使用中间人攻击提供恶意有效载荷。

研究人员说：“Ssler模块通过拦截所有通过设备发送到端口80的流量，提供数据过滤和JavaScript注入功能”。

此第三阶段模块还使恶意软件能够在受感染的设备上保持持久存在，即使在重新启动后也是如此。

ssler模块设计用于使用参数列表为连接到受感染网络的特定设备提供定制恶意有效载荷，该参数列表定义了模块的行为以及应针对哪些网站。

这些参数包括用于定义设备上存储被盗数据的文件夹位置的设置、用于创建iptable规则的源和目标IP地址，以及JavaScript注入的目标URL。
为了在端口80上为所有传出的web请求设置数据包嗅探，模块在安装后立即配置设备的iptables，以将发送到端口80的所有网络流量重定向到端口8888上侦听的本地服务。

研究人员解释说：“为了确保这些规则不会被删除，ssler会删除它们，然后大约每四分钟将它们添加回来”。

为了针对HTTPS请求，ssler模块还执行SSLStrip攻击，即将HTTPS连接降级为HTTP，迫使受害web浏览器通过明文HTTP进行通信。

VPNFilter“dstr”和设备销毁模块

正如我们在前一篇文章中介绍的，VPNFilter还具有破坏性功能（dstr模块），可以通过删除正常设备操作所需的文件，使受感染的设备无法使用。

该恶意软件触发路由器的killswitch，首先故意自杀，然后删除系统上的其余文件[名为vpnfilter、security和tor]，可能是为了在法医分析期间隐藏其存在。

这种功能可以在单个受害者机器上触发，也可以在整体上触发，可能会切断全球数十万受害者的互联网接入。

仅仅重启路由器是不够的

尽管FBI在发现VPNFilter后立即扣押了一台关键的命令和控制服务器，但由于其多功能、多阶段的设计，僵尸网络仍然保持活跃。

第1阶段的恶意软件可以在重新启动后存活下来，在受感染的设备上获得持久的立足点，并允许部署第2阶段和第3阶段的恶意软件。因此，每次重新启动受感染的设备时，都会在设备上重新安装阶段2和阶段3。
这意味着，即使在FBI没收了C&amp；VPNFilter的C服务器，数十万台已经感染了恶意软件的设备，很可能仍然感染了stage 1，后者随后会安装stage 2和stage 3。

因此，仅重新启动不足以从受感染的设备上完全删除VPNFilter恶意软件，消费者级路由器、交换机和网络连接存储设备的所有者需要采取其他措施，这些措施因型号而异。为此，建议路由器所有者联系其制造商。

对于某些设备，将路由器重置为出厂默认值可以删除潜在的破坏性恶意软件，同时删除第1阶段，而一些设备可以通过简单的重新启动，然后更新设备固件来清理。

正如我之前所说的，再次标记这些词：如果你的路由器无法更新，扔掉它，买一个新的。你的安全和隐私比路由器的价格更值钱。