HKCert
保安博錄

惡意軟件「VPNFilter」影響全球網絡設備

發布日期: 24 / 05 / 2018
最後更新: 07 / 06 / 2018

圖片提供:Talos

安全研究團隊Talos發佈了一份關於潛在破壞性惡意軟件「VPNFilter」的調查報告。該報告指出至少在54個國家現發不少於500,000個家用路由器和網絡附加儲存設備(NAS)感染了此類型惡意軟件[1]。

根據報告,以下是已知受惡意軟件影響的設備 (更新於:2018年6月7日):

  • ASUS: RT-AC66U,RT-N10,RT-N10E,RT-N10U,RT-N56U,RT-N66U
  • D-LINK: DES-1210-08P,DIR-300,DIR-300A,DSR-250N,DSR-500N,DSR-1000,DSR-1000N
  • HUAWEI: HG8245
  • Linksys: E1200,E2500,E3000,E3200,E4200,RV082,WRVS4400N [修補程式資訊]
  • Mikro Tik: CCR1009,CCR1016,CCR1036,CCR1072,CRS109,CRS112,CRS125,RB411,RB450,RB750,RB911,RB921, RB941,RB951,RB952,RB960,RB962,RB1100,RB1200,RB2011,RB3011,RB Groove,RB Omnitik,STX5 [修補程式資訊]
  • Netgear:DG834,DGN1000,DGN2200,DGN3500,FVS318N,MBRN3000,R6400,R7000,R8000,WNR1000,WNR2000,WNR2200,WNR4000,WNDR3700,WNDR4000,WNDR4300,WNDR4300-TN,UTM50 [修補程式資訊]
  • QNAP NAS:TS251,TS439 Pro,其他運行QTS軟件的QNAP NAS設備 [修補程式資訊]
  • TP-Link: R600VPN,TL-WR741ND,TL-WR841N [修補程式資訊]
  • UBIQUITI: NSM2,PBE M5
  • UPVEL: 尚且不知具體型號
  • ZTE: ZXHN H108N
這些設備被廣泛應用於家居、小型或家庭辦公室(SOHO)以及中小企。其中大部分設備在香港消費市場上銷售。
 

受感染後的影響

該報告指出,VPNFilter惡意軟件背後的攻擊者利用受感染的設備建立網絡攻擊他人,例如使用受感染的設備作為跳板訪問目標,或監控路經受感染設備的網絡通訊。

此惡意軟件最具破壞性的影響是攻擊者可以發出「kill」指令破壞受感染的設備,繼而中斷設備持有者及其用戶的互聯網連線。如果發生這種情況,用戶可能需要技術支援才能恢復其互聯網連線。

 

給設備持有者的建議

為了減少受VPNFilter惡意軟件感染或影響的風險,我們建議:

  • 若設備供應商已發佈保安更新,應立即安裝。
  • 目前沒有便捷的方法來檢測設備是否受到感染。如果你擔心受感染及供應商未提供保安更新,唯一的防禦方法是將你的設備重置為出廠設置並重新啟動。請注意,在執行重置之前,你應該做好備份工作或記下當前配置,因為重置後它們會被刪除。
  • 應使用高強度密碼取代管理介面的預設密碼[3]。
  • 禁止通過互聯網訪問設備管理介面。
  • 若用戶處理路由器或安裝更新時遇到困難,請聯絡設備供應商尋求協助。
  • 對於聘請了IT人員/供應商的機構,如果你擁有防火牆或IPS等保護設施,則可以加入由Talos發布的Snort 規則或IOC (請參考文末連結)。如果你有設置SIEM系統,則可以監測網絡內曾否與報告中列出的C2伺服器進行通訊[1]。

 

參考資料

[1] https://blog.talosintelligence.com/2018/05/VPNFilter.html

[2] https://www.us-cert.gov/ncas/tips/ST15-002

[3] https://www.us-cert.gov/ncas/alerts/TA18-145A