新VPNFilter惡意軟體：攻擊至少50萬網路設備

簡介

VPNFilter惡意軟體的代碼與BlackEnergy惡意軟體有重疊，BlackEnergy惡意軟體對烏克蘭的目標設備發起了多次大規模攻擊。而VPNFilter也以驚人的速度感染了烏克蘭的主機，使用的C2基礎設施也是專門針對烏克蘭的。

該攻擊活動的規模和能力都是讓人擔憂的。研究人員預計有超過54個國家的50萬設備被感染。已知受VPNFilter影響的設備有家用和小型辦公場所使用的Linksys, MikroTik, NETGEAR,TP-Link網路設備，以及QNAP NAS設備。

VPNFilter在網路設備上的行為也是讓人擔憂的，因為惡意軟體的組件會竊取網站的身份憑證並監控Modbus SCADA協議。

最後，惡意軟體還有一個破壞性的能力，就是讓受感染的設備無法使用。這可以在單個設備上觸發，也可以大規模地觸發，比如同時切斷上萬設備的網路連接。

被攻擊的終端設備也很難防護，因為這些設備一般都位於網路的邊界，沒有IPS的保護，也沒有可用的基於主機的保護系統。從已知的情況來看，目前大多數被攻擊的設備，尤其是在一些舊的系統（固件）版本中，都有公開的漏洞或使用默認憑證。

技術總結

VPNFilter惡意軟體是一個多階段的、支持多平台的進行情報收集和破壞性的網路攻擊活動。

在stage 1，惡意軟體通過重啟來達到駐留的目的。因為大多數的攻擊物聯網設備的惡意軟體在重啟後都不能存留。Stage 1的主要目的是完成駐留和啟用stage 2的惡意軟體。Stage 1使用了多個冗餘的C2機制來發現當前stage 2階段的伺服器，這讓惡意軟體在應對C2基礎設施的變化上極具魯棒性。

Stage 2的惡意軟體在重啟之後是不能駐留的，具有情報收集的功能，包括文件收集、命令執行、數據泄漏和設備管理等。但一些版本的stage 2還具有自破壞的能力，可以覆寫設備固件的關鍵部分、重啟設備，讓設備不可用。基於攻擊者對這些設備和對stage 2現有能力的了解，研究人員認為攻擊者對所控制的大多數的設備都使用了自毀命令。

還有多個stage 3模塊作為stage 2惡意軟體的插件。這些插件提供給stage 2的惡意軟體一些額外的功能，包括收集流量的packet sniffer和允許stage 2與Tor進行通信的模塊。研究人員認為還有其他的模塊沒有被發現。

情報討論

研究人員認為該惡意軟體是用來創建一個服務與攻擊者多個運營需求的基礎設計。因為這些受感染的設備是被企業或個人合法擁有的，所以這樣設備的活動可能會被錯誤地認為是受害者本人。因為惡意軟體內置了不同的能力和插件，這可以讓攻擊者以多種方式去利用設備。

惡意軟體可以被用來收集流經設備的數據。這可以直接作為數據收集使用，或判定網路的潛在價值。如果網路對攻擊者來說有潛在的價值，攻擊者可能會繼續收集流經設備的數據，或通過該設備傳播到互聯的網路來收集數據。目前，研究人員沒有發現可被利用的stage 3插件。但研究人員發現了一些線索，研究人員認為這些高級單元非常有可能會含有該模塊中惡意軟體所擁有的功能。

最後，惡意軟體可以用kill命令來進行大規模地破壞性活動，這會使大量的物理設備不可用。這個命令在很多stage 2的樣本中出現過，但可以用所有的stage 2樣本中的exec命令來觸發。在大多數的例子中，對大多數的受害者來說，這個動作是不可逆的，因為首先需要技術能力、還需要了解原理、受害者還需要有必要的工具。

一些危險的活動

在對該威脅的研究中，研究人員了解了該威脅的範圍和受感染設備的行為習慣。研究人員發現這是一個全球範圍內廣泛應用的威脅。進一步研究發現，這些活動可能與潛在的數據泄漏活動相關。

5月初，研究人員發現受感染的設備在埠23，80，2000，8080上進行TCP掃描。這些埠是Mikrotik和QNAP NAS設備所使用的埠。受感染的設備掃描了超過100個國家的目標設備。

研究人員通過收集到的信息找出了C2基礎設施的特徵。許多受害者IP看起來有數據竊取的行為。

5月8日，研究人員發現了大量的VPNFilter感染活動。幾乎所有新感染的設備（受害者）都位於烏克蘭。這些烏克蘭的感染設備都是用同一個stage 2 C2基礎設施，IP地址為46.151.209[.]33。通過BlackEnergy和VPNFilter代碼的重複性以及之前發生在烏克蘭的攻擊的時間線，研究人員一波攻擊可能正在逼近……所以，選擇儘快將研究結果公開。

圖1. 隨時間變化VPNFilter的感染量

應對威脅

因為受感染的設備的一些天生的性質，導致了應對威脅困難重重。許多設備都是直接聯網的，在這些設備和潛在的攻擊者之間是沒有安全設備和服務的。而且許多設備都有已被公開的漏洞，但普通用戶可能並沒有去修復這些漏洞。而且這些設備本身都沒有內置的反惡意軟體能力。這三個事實就決定了應對威脅非常困難，也就說明很難去限制惡意軟體、移除漏洞或者攔截威脅。

建議

研究人員提出了以下建議：

·使用SOHO路由器或NAS設備的用戶應該重置設備到工廠模式的默認配置，並重啟設備來移除潛在的stage 2和stage 3階段的惡意軟體。

·提供SOHO路由器的ISP應該以為客戶去考慮，重啟路由器。

·如果用戶的設備有上面提到的漏洞，那麼用戶應該確保設備的固件版本和系統是最新的。ISP和廠商都應該參與這一環節。

多stage技術分析

利用

截止發稿，研究人員仍不清楚威脅單元是如何利用這些受影響的設備的。但所有這些受影響的設備和型號都有一個共同點：擁有公開的漏洞。因為高級的威脅者一般都會用最小的資源代價去完成目的，所以研究人員認為VPNFilter沒有使用0day利用技術。

STAGE 1 (PERSISTENT LOADER)

VPNFilter的stage 1惡意軟體感染的設備運行的固件都是基於Busybox和Linux的，這些固件會編譯為不同的CPU架構。Stage 1階段的惡意軟體的主要目的就是定位提供stage 2惡意軟體的伺服器，並在受感染的設備上下載和保持駐留。可以通過修改一些非易失性設置（non-volatile configuration memory，NVRAM）的值，把自己加入到crontab中來達到駐留的目的。這與Mirai這樣的物聯網惡意軟體是不同的，因為那些惡意軟體在設備重啟後就消失了。

研究人員分析了MIPS和x86處理器的樣本，發現C2通信和其他的惡意軟體下載是通過Tor和SSL加密連接完成的。當二進位文件本身沒有混淆的話，一些字元串是以一種加密的形式保存的，只有在運行時才會解密。加密的路徑看起來與RC4有點類似，但看起來惡意軟體的作者將S-box的初始化弄錯了。在排列的步驟中，值進行了XOR運算而不是交換。對RC4應用的分析說明了與BlackEnergy中的應用是一樣的。

RC4初始化過程會對內部狀態初始化階段的值進行XOR運算。就如上面的最後一個基本區塊中描述的一樣，代碼不會交換S[i]和S[j]的值。

一旦惡意軟體完成初始化過程，就會從seed URL下載頁面。在樣本中，緩存指向的是Photobucket.com，一個圖片分享的主機。惡意軟體會從URL的圖片庫中下載第一張圖片，然後提取下載伺服器的IP地址。IP地址是從圖片EXIF信息的GPS經緯度提取的。

如果stage 1沒有成功連接或從Photobucket的圖片上獲取IP地址，惡意軟體就會到備份的域名toknowall[.]com去下載圖片，去獲取IP地址。

如果這個連接備份域名的過程也失敗了，stage 1就會開啟一個監聽器來等待特殊的觸發包來建立一個攻擊者與設備之間的連接。監聽器開啟後，就會從api.ipify[.]org檢查公網的IP地址，並保存進行後續的比較。當有包到達埠，監聽器就會執行檢查來識別觸發包。

如果包滿足預設的標準，就從包中提取IP地址然後嘗試stage 2的下載。

LISTENER的動作：

·用SYN flag設定來檢查所有的TCP/IPv4包；

·檢查目的IP地址與監聽器打開時發現的IP地址是否一致；

·確保包有8個以上位元組；

·掃描位元組「x0cx15x22x2b」的數據；

·前4位元組之後的位元組會被範圍為IP，如x01x02x03x04 -> 1.2.3[.]4；

·在stage 2調用新接收的IP地址；

·確認stage 2至少1001位元組。

STAGE 2 (非駐留的)

Stage 2惡意軟體首先會創建一個模塊文件夾(/var/run/vpnfilterm)和工作目錄(/var/run/vpnfilterw)來完成整個工作環境的設定。之後會運行loop，首先會到達C2伺服器，然後執行從C2伺服器獲取的命令。這些命令是用RC4啊加密的。幸運的是，老版本的x86 stage2樣本非常冗長，debug會列印執行的所有步驟。X86 stage 2的新版本並不含有debug print，MIPS樣本中也沒有。

X86樣本會執行下面的動作：

·kill:用0覆寫/dev/mtdblock0的前500個位元組，然後重啟設備。

·exec:執行shell命令或插件。

·tor:設定Tor的配置標記 (0或1)。

·copy: 將文件從客戶端複製到伺服器。

·seturl: 設定當前配置的URL。

·proxy: 設定當前代理的URL。

·port: 設定當前代理的埠。

·delay: 設定loop執行的延遲。

·reboot: 如果運行超過256秒就重啟設備。

·download: 從URL下載文件。

MIPS樣本的操作：

·stop: 終止惡意軟體進程。

·relay: x86版本的delay命令拼寫錯誤。

Tor模塊安裝後，stage 2會用配置的1個或多個IP地址作為到Tor的SOCKS5的代理，並嘗試與配置中的控制面板來通信。與stage 1相似，惡意軟體和代理的通信是通過SSL連接實現的。Tor模塊安裝後，會通過本地的SOCKS5代理連接到.onion域名。研究人員用了一個假的SOCKS5代理將所有的流量重定向到INetSim進行分析。

從惡意軟體到伺服器的請求示例:

伺服器對消息的響應：

STAGE 3 (非駐留)

研究人員分析了惡意軟體的兩個插件莫款，惡意軟體用packet sniffer和通信插件通過Tor通信。packet sniffer會檢查所有的網路流量，並尋找HTTP基本認證使用的字元串。然後記錄Modbus TCP/IP包，產生的日誌保存在stage 2的工作目錄下/var/run/vpnfilterw。這讓攻擊者可以理解、獲取、記錄流經設備的流量。

Tor插件模塊是與stage 2關聯的，但還有一個單獨的Tor可執行文件要下載到/var/run/tor目錄中，並以一個與stage 2獨立的進程去運行。Tor二進位文件看起來是一個標準的Tor客戶端，會在/var/run/torrc和工作目錄/var/run/tord創建配置文件。

結論

VPNFilter是一個大規模、魯棒的、有很多功能的、危險的威脅，而且攻擊的目標設備很難防護。高度模塊化的架構可以讓攻擊者的運營基礎設施迅速變化，服務情報收集、進行攻擊等目的。

其破壞性的功能尤為引人注意。攻擊者可以在事後清除攻擊記錄，以防止被追蹤。攻擊者使用kill等命令可以讓上萬設備瞬間不可用，斷開網路連接等。

雖然針對IOT設備的攻擊和威脅不是一個新問題，但事實上這些設備被有國家背景的攻擊者用來執行網路攻擊，可能會對這些設備本身帶來破壞，這也會增加解決這些問題的緊迫性。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！