本博客文章由思科Talos團(tuán)隊(duì)撰寫(xiě)，閱讀中文完整版內(nèi)容請(qǐng)點(diǎn)擊https://www.cisco.com/c/zh_cn/products/security/talos.html

 

（思科Talos 團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專(zhuān)家組成，他們分析評(píng)估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢(shì)。包括 ClamAV 團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書(shū)的作者中最知名的安全專(zhuān)家，都是思科Talos 的成員。這個(gè)團(tuán)隊(duì)同時(shí)得到了 Snort、ClamAV、Senderbase.org 和 Spamcop.net 社區(qū)的龐大資源支持，使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)，也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持）

引言

思科 Talos 與多家情報(bào)合作伙伴共同發(fā)現(xiàn)了有關(guān) “VPNFilter” 的更多詳細(xì)信息。在我們最初發(fā)布活動(dòng)調(diào)查結(jié)果的幾天里，我們已發(fā)現(xiàn)VPNFilter 所瞄準(zhǔn)的設(shè)備品牌/型號(hào)比最初想象得更多，而且還具有其他的功能，例如向終端進(jìn)行攻擊的能力。思科 Talos 最近發(fā)布了一篇博客（詳情），其主題關(guān)于在小型家庭辦公網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)連接存儲(chǔ)設(shè)備中部署 VPNFilter 的廣泛活動(dòng)。正如我們?cè)谶@篇帖文中所述，我們對(duì)于這一威脅的研究是持續(xù)性的。發(fā)布這篇帖文之后，我們擁有了許多合作伙伴，他們提供了更多的信息來(lái)幫助我們開(kāi)展此項(xiàng)工作。這篇帖文是過(guò)去一周內(nèi)我們的最新調(diào)查結(jié)果。

 

首先，我們確定了此攻擊者還瞄準(zhǔn)其他設(shè)備，包括目標(biāo)列表中新出現(xiàn)供應(yīng)商的一些設(shè)備。這些新供應(yīng)商包括 ASUS、D-Link、華為、Ubiquiti、UPVEL 和中興。另外還發(fā)現(xiàn)了 Linksys、MikroTik、Netgear 和 TP-Link 的新設(shè)備。我們目前的研究表明，沒(méi)有任何思科網(wǎng)絡(luò)設(shè)備受到影響。下面提供了更新的設(shè)備列表。

 

我們還發(fā)現(xiàn)了一個(gè)新的第 3 階段模塊，它可在通過(guò)網(wǎng)絡(luò)設(shè)備時(shí)向網(wǎng)絡(luò)流量中注入惡意內(nèi)容。在最初發(fā)布時(shí)，我們并沒(méi)有掌握關(guān)于可疑第 3階段模塊的所有信息。新模塊允許攻擊者通過(guò)中間人功能向終端進(jìn)行攻擊（例如，它們可以在用戶(hù)不知曉的情況下攔截網(wǎng)絡(luò)流量并向其中注入惡意代碼）。通過(guò)這一新的發(fā)現(xiàn)，我們可以確認(rèn)，威脅已超過(guò)攻擊者在網(wǎng)絡(luò)設(shè)備本身執(zhí)行操作的范疇，它可以將威脅擴(kuò)展到受侵害網(wǎng)絡(luò)設(shè)備所支持的網(wǎng)絡(luò)中。我們?cè)谙旅嫣峁┝舜四�塊（稱(chēng)為“ssler”）的技術(shù)詳情。

 

此外，我們還發(fā)現(xiàn)了另一個(gè)第 3 階段模塊，其中提供了任何缺乏用于禁用設(shè)備的 kill 命令功能的第 2 階段模塊。在執(zhí)行時(shí)，此模塊特意從設(shè)備中刪除 VPNFilter 惡意軟件的痕跡，然后致使設(shè)備無(wú)法可用。下面還提供了此模塊（稱(chēng)為“dstr”）的分析。

 

最后，我們對(duì)第 3 階段數(shù)據(jù)包嗅探器進(jìn)行了進(jìn)一步研究，包括深入分析它如何尋找 Modbus 流量。

 

技術(shù)詳情
新的第 3 階段模塊

 

“Ssler”（終端漏洞攻擊模塊 JavaScript 注入）

 

ssler 模塊（讀作“Esler”）通過(guò)攔截通過(guò)設(shè)備且流往端口 80 的所有流量來(lái)提供數(shù)據(jù)泄漏和 JavaScript 注入功能。預(yù)計(jì)此模塊將使用參數(shù)列表執(zhí)行，參數(shù)列表決定了模塊的行為以及應(yīng)瞄準(zhǔn)的網(wǎng)站。第一個(gè)定位參數(shù)控制設(shè)備中應(yīng)存儲(chǔ)被盜數(shù)據(jù)的文件夾。其他指定參數(shù)的用途如下：

 

Ÿ  dst：- 所創(chuàng)建的 iptables 規(guī)則使用該參數(shù)來(lái)指定目標(biāo) IP 地址或者應(yīng)該應(yīng)用此規(guī)則的 CIDR 范圍。

Ÿ  src：- 所創(chuàng)建的 iptables 規(guī)則使用該參數(shù)來(lái)指定源 IP 地址或者應(yīng)該應(yīng)用此規(guī)則的 CIDR 范圍。

Ÿ  dump：- dump 參數(shù)中所傳遞的所有域會(huì)將其所有 HTTP 頭記錄在 reps_*.bin 文件中。

Ÿ  site：- 當(dāng)某個(gè)域通過(guò)“site”參數(shù)提供時(shí)，此域會(huì)使其網(wǎng)頁(yè)成為 JavaScript 注入目標(biāo)。

Ÿ  hook：- 此參數(shù)確定所注入 JavaScript 文件的 URL。

 

ssler 模塊所采取的第一個(gè)操作是配置設(shè)備的 iptables，以將流往端口 80 的所有流量重新定向到在端口 8888 上監(jiān)聽(tīng)的本地服務(wù)。它首先使用 insmod 命令將三個(gè) iptables 模塊插入內(nèi)核（ip_tables.ko、iptable_filter.ko、iptable_nat.ko），然后執(zhí)行以下 shell 命令：

 

iptables -I INPUT -p tcp --dport 8888 -j ACCEPT

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8888

示例：./ssler logs src:192.168.201.0/24 dst:10.0.0.0/16

 

-A PREROUTING -s 192.168.201.0/24 -d 10.0.0.0/16 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8888

 

注意：為了確保這些規(guī)則不被刪除，ssler 會(huì)先將其刪除，然后在大約每 4 分鐘后再重新添加。

 

端口 80 上的任何傳出 Web 請(qǐng)求現(xiàn)在都會(huì)被 ssler 攔截，并可先進(jìn)行檢查和操作然后再被發(fā)送到合法的 HTTP 服務(wù)。所有 HTTP 請(qǐng)求都會(huì)執(zhí)行 sslstrip 操作。也就是說(shuō)，在將請(qǐng)求發(fā)送到真正的 HTTP 服務(wù)器之前會(huì)對(duì)其進(jìn)行以下更改：

 

Ÿ  任何 https:// 字符串實(shí)例都會(huì)被替換為 http://，安全 HTTP 資源請(qǐng)求被轉(zhuǎn)換為不安全請(qǐng)求，以便從中提取敏感數(shù)據(jù)（例如憑證）。

Ÿ  如果請(qǐng)求中包含報(bào)頭“連接：保持活動(dòng)狀態(tài)”，則將被替換為“連接：關(guān)閉”；

Ÿ  如果請(qǐng)求中包含報(bào)頭“接受含有 gzip 值的編碼”，則將被轉(zhuǎn)換為“接受編碼：純文本/無(wú)”，從而不會(huì)使用 gzip 壓縮任何響應(yīng)（對(duì)于圖像等某些文件類(lèi)型會(huì)有例外情況）。

 

如果主機(jī)位于其中一個(gè) dump: 參數(shù)中，則會(huì)將請(qǐng)求詳細(xì)信息保存到磁盤(pán)中以進(jìn)行泄漏，包括 URL、端口和所有請(qǐng)求報(bào)頭。如果主機(jī)不存在于 dump: 參數(shù)中，將僅會(huì)轉(zhuǎn)儲(chǔ)其中包含憑證的授權(quán)報(bào)頭或 URL 請(qǐng)求。如果 URL 中包含字符串 assword= 或 ass= 以及以下任一字符串，則可確定其中包含憑證：

 

Ÿ  sername=

Ÿ  ser=

Ÿ  ame=

Ÿ  ogin=

Ÿ  ail=

Ÿ  hone=

Ÿ  session%5Busername

Ÿ  session[password

 

任何發(fā)送至 accounts.google.com 的包含字符串 signin 的 POST 請(qǐng)求也將被轉(zhuǎn)儲(chǔ)。

 

作出這些修改之后，ssler 將會(huì)使用端口 80 上修改后的請(qǐng)求數(shù)據(jù)來(lái)與真正的 HTTP 服務(wù)器建立連接。ssler 會(huì)從 HTTP 服務(wù)器接收響應(yīng)，并在將其傳遞給受害者之前對(duì)該響應(yīng)進(jìn)行以下更改：

 

Ÿ  “位置”報(bào)頭值為 https:// 的響應(yīng)將被轉(zhuǎn)換為 http://

Ÿ  系統(tǒng)忽略以下報(bào)頭，即不會(huì)發(fā)送至客戶(hù)端：

0         Alt-Scv

0         Vary

0         Content-MD5

0         content-security-policy

0         X-FB-Debug

0         public-key-pins-report-only

0         Access-Control-Allow-Origin

Ÿ  整個(gè)響應(yīng)已 sslstrip - 也即，包括 \x20http:// 的所有 https:// 的實(shí)例。

Ÿ  如果系統(tǒng)提供參數(shù) site: 的域（或域的一部分，例如“google”），其會(huì)嘗試將 JavaScript 注入所有 Content-Type: text/html 或Content-Type: text/javascript 響應(yīng)中，但要求是字符串 <meta name= … > 存在且足夠長(zhǎng)以適于 hook: 參數(shù)中的字符串。<meta name = ...> 標(biāo)簽將被替換為 <script type="text/javascript" src="[hook value]">。之后，系統(tǒng)將與網(wǎng)站相結(jié)合的受害者 IP 加入 ssler 內(nèi)部白名單中，且在清除白名單（每四天清除一次）前不會(huì)再次成為注入目標(biāo)。

 

響應(yīng)中已 sslstrip 的各域（例如，可見(jiàn)于鏈路中的域）均會(huì)被添加到剝離域列表中。后續(xù)由 ssler 模塊攔截到此列表中的域的請(qǐng)求將通過(guò)端口 443 上的 HTTPS 發(fā)生，而不是通過(guò)端口 80 上的 HTTP 發(fā)生。默認(rèn)情況下，此列表中有四個(gè)域，因此 ssler 將始終通過(guò)端口 443 上的 HTTPS 連接至這些域：www.google.com、twitter.com、www.facebook.com 或 www.youtube.com。

 

“dstr”（設(shè)備破壞模塊）

 

dstr 模塊用于通過(guò)刪除正常操作所需的文件使受感染設(shè)備無(wú)法操作。在刪除系統(tǒng)中的其他文件前，該模塊首先刪除與自身操作相關(guān)的所有文件和文件夾，可能為了在調(diào)查分析期間隱藏自己的存在。

 

深入分析 x86 版本 dstr 模塊后發(fā)現(xiàn)，此模塊首先從磁盤(pán)中將其自身刪除，然后停止執(zhí)行父級(jí)第 2 階段進(jìn)程，再搜索所有正在運(yùn)行的進(jìn)程，查找名為 vpnfilter、security 和 tor 的進(jìn)程并終止它們。接下來(lái)，顯式地刪除以下文件和目錄：

 

Ÿ  /var/tmp/client_ca.crt

Ÿ  /var/tmp/client.key

Ÿ  /var/tmp/client.crt

Ÿ  /var/run/vpnfilterm/htpx

Ÿ  /var/run/vpnfilter

Ÿ  /var/run/vpn.tmp

Ÿ  /var/run/vpn.pid

Ÿ  /var/run/torrc

Ÿ  /var/run/tord/hidden_ssh/private_key

Ÿ  /var/run/tord/hidden_ssh/hostname

Ÿ  /var/run/tor

Ÿ  /var/run/msvf.pid

Ÿ  /var/run/client_ca.crt

Ÿ  /var/run/client.key

Ÿ  /var/run/client.crt

Ÿ  /var/pckg/mikrotik.o

Ÿ  /var/pckg/.mikrotik.

Ÿ  /var/msvf.pid

Ÿ  /var/client_ca.crt

Ÿ  /var/client.key

Ÿ  /var/client.crt

Ÿ  /tmp/client_ca.crt

Ÿ  /tmp/client.key

Ÿ  /tmp/client.crt

Ÿ  /flash/nova/etc/loader/init.x3

Ÿ  /flash/nova/etc/init/security

Ÿ  /flash/nova/etc/devel-login

Ÿ  /flash/mikrotik.o

Ÿ  /flash/.mikrotik.

Ÿ  /var/run/vpnfilterw/

Ÿ  /var/run/vpnfilterm/

Ÿ  /var/run/tord/hidden_ssh/

Ÿ  /var/run/tord/

Ÿ  /flash/nova/etc/loader/

Ÿ  /flash/nova/etc/init/

 

dstr 模塊通過(guò)使用 0xFF 字節(jié)覆蓋所有可用 /dev/mtdX 設(shè)備的字節(jié)來(lái)清除閃存。最后，執(zhí)行 shell 命令 rm -rf /* 來(lái)刪除文件系統(tǒng)的其余文件，并重啟設(shè)備。此時(shí)，設(shè)備無(wú)任何需操作的文件，且無(wú)法啟動(dòng)。

 

第三階段數(shù)據(jù)包嗅探器的進(jìn)一步研究

 

“ps”（第 3 階段數(shù)據(jù)包嗅探器）

 

第 3 階段數(shù)據(jù)包嗅探模塊的一個(gè)示例是 R600VPN MIPS-like（Lexra 架構(gòu)）示例。本示例中的數(shù)據(jù)包嗅探器正在查找基本身份驗(yàn)證并監(jiān)控 ICS 流量，且特定于 TP-LINK R600-VPN。惡意軟件使用原始套接字查找預(yù)先指定的 IP 地址的連接，僅查看 150 個(gè)字節(jié)或更大的TCP 數(shù)據(jù)包（注意：這是含報(bào)頭的完整數(shù)據(jù)包大小。根據(jù) TCP 報(bào)頭的大小，PDU 可能約為 56 到 96 個(gè)字節(jié)，且仍符合記錄的標(biāo)準(zhǔn)）。惡意軟件可查看，但不可修改網(wǎng)絡(luò)流量。要實(shí)施能夠修改流量的功能，需要進(jìn)行非常重大的更改。

對(duì)不在端口 502 上的數(shù)據(jù)包進(jìn)行 BasicAuth 掃描，并記錄該信息。

 

Ÿ  其他：（非 Modbus 流量）：sniffing HTTP basic auth credentials

0         Destination IP Address == command line argument IP address

0         Source port > 1024

0         Source port != 8080

0         Source port != 8088

0         Packet Data length > 20 bytes

0         Packet does not contain

n  </ and >

n  <?xml

n  Basic Og==

n  /tmUnblock.cgi

n  Password Required

n  <p

n  <form

n  <input

n  this. and .get

n  {

n  }

n  200 OK

n  <span

n  <SPAN

n  <DIV

0         數(shù)據(jù)包包含“授權(quán)：基本”或一個(gè)用戶(hù)/密碼組合

n  用戶(hù)

²  User=

²  user=

²  Name=

²  name=

²  Usr=

²  usr=

²  Login=

²  login=

n  Pass

²  Pass=

²  pass=

²  Password=

²  password=

²  Passwd=

²  passwd=

Ÿ  日志記錄：記錄 IP 和端口，但不記錄端口 502 上的數(shù)據(jù)包內(nèi)容。不驗(yàn)證 Modbus 流量。

0         Modbus - 記錄 SourceIP、SourcePort、DestinationIP 和 DestinationPort，并將其標(biāo)記為 *modbus*

0         所有其他 - 僅在通過(guò)基本身份驗(yàn)證檢查時(shí)才將完整數(shù)據(jù)包寫(xiě)入日志文件

 

 

結(jié)論
這些新發(fā)現(xiàn)告訴我們來(lái)自 VPNFilter 的威脅持續(xù)增長(zhǎng)。除了在其他目標(biāo)設(shè)備和供應(yīng)商中發(fā)現(xiàn)威脅表面更加廣泛之外，還發(fā)現(xiàn)惡意軟件能夠?qū)�終端設(shè)備進(jìn)行漏洞攻擊，說(shuō)明這一威脅的范圍擴(kuò)展到了設(shè)備本身之外，并擴(kuò)展到了這些設(shè)備支持的網(wǎng)絡(luò)中。如果成功，攻擊者將能夠?qū)⑷魏嗡�需附加功能部署至環(huán)境中，以支持其目標(biāo)，包括 rootkit、泄漏功能和破壞性惡意軟件。

 

 

IOC更新列表

如前所述，我們高度懷疑還有其他我們目前尚未發(fā)現(xiàn)的這一惡意軟件的其他 IOC 和版本。點(diǎn)擊https://www.cisco.com/c/zh_cn/products/security/talos.html，查看思科 Talos 已掌握的及新的 IOC！

 

 

已知受影響設(shè)備

已知受到此威脅影響的設(shè)備如下所列。由于這項(xiàng)研究的規(guī)模之大，我們的許多觀察結(jié)果是遠(yuǎn)程而非在設(shè)備上得出的，因此在很多情況下難以確定具體的版本號(hào)和型號(hào)。

 

鑒于對(duì)此威脅的觀察結(jié)果，據(jù)估計(jì)，此列表并不完整且可能有其他設(shè)備受到影響。

 

華碩設(shè)備：

RT-AC66U（新）

RT-N10（新）

RT-N10E（新）

RT-N10U（新）

RT-N56U（新）

RT-N66U（新）

 

D-LINK 設(shè)備：

DES-1210-08P（新）

DIR-300（新）

DIR-300A（新）

DSR-250N（新）

DSR-500N（新）

DSR-1000（新）

DSR-1000N（新）

 

華為設(shè)備：

HG8245（新）

 

LINKSYS 設(shè)備：

E1200

E2500

E3000（新）

E3200（新）

E4200（新）

RV082（新）

WRVS4400N

 

MIKROTIK 設(shè)備：

CCR1009（新）

CCR1016

CCR1036

CCR1072

CRS109（新）

CRS112（新）

CRS125（新）

RB411（新）

RB450（新）

RB750（新）

RB911（新）

RB921（新）

RB941（新）

RB951（新）

RB952（新）

RB960（新）

RB962（新）

RB1100（新）

RB1200（新）

RB2011（新）

RB3011（新）

RB Groove（新）

RB Omnitik（新）

STX5（新）

 

NETGEAR 設(shè)備：

DG834（新）

DGN1000（新）

DGN2200

DGN3500（新）

FVS318N（新）

MBRN3000（新）

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200（新）

WNR4000（新）

WNDR3700（新）

WNDR4000（新）

WNDR4300（新）

WNDR4300-TN（新）

UTM50（新）

 

QNAP 設(shè)備：

TS251

TS439 Pro

運(yùn)行 QTS 軟件的其他 QNAP NAS 設(shè)備

 

TP-LINK 設(shè)備：

R600VPN

TL-WR741ND（新）

TL-WR841N（新）

 

UBIQUITI 設(shè)備：

NSM2（新）

PBE M5（新）

 

UPVEL 設(shè)備：

未知型號(hào)*（新）

 

中興通訊設(shè)備：

ZXHN H108N（新）

 

* 以供應(yīng)商 Upvel 為目標(biāo)的惡意軟件已被發(fā)現(xiàn)，但我們無(wú)法確定所針對(duì)的特定設(shè)備。

 

 

思科 Talos 感謝來(lái)自世界各地的所有個(gè)體研究人員、公司和情報(bào)合作伙伴，他們已站出來(lái)主動(dòng)共享信息和應(yīng)對(duì)這一威脅。您的行動(dòng)幫助了我們更好地理解這場(chǎng) “戰(zhàn)役”，而且在某種情況下，您的行動(dòng)直接改善了我們所處的境地。此外，我們深知這是項(xiàng)團(tuán)隊(duì)運(yùn)動(dòng)，衷心感謝您的傾情援助。

 

隨著威脅不斷發(fā)展，我們將繼續(xù)監(jiān)控 VPNFilter，并與我們的合作伙伴合作，以確保我們的客戶(hù)持續(xù)受到保護(hù)并向公眾公布調(diào)查結(jié)果。

 

思科高級(jí)惡意軟件保護(hù)（AMP）、云網(wǎng)絡(luò)安全（CWS）、網(wǎng)絡(luò)安全、ThreatGrid、Umbrella 和網(wǎng)絡(luò)安全設(shè)備（WSA）均可保護(hù)思科客戶(hù)免受此威脅的侵害。此外，StealthWatch 和 StealthWatch Cloud 可用于查找與已知 C2 IP 地址和域進(jìn)行通信的設(shè)備。

標(biāo)簽： Google ssl 安全 代碼 服務(wù)器 漏洞 搜索 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全設(shè)備 網(wǎng)絡(luò)安全行業(yè) 網(wǎng)絡(luò)安全專(zhuān)家

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。