VPNFilter災情超乎預期，華碩、D-Link、華為與中興裝置都遭殃

starforce

VPNFilter災情超乎預期，華碩、D-Link、華為與中興裝置都遭殃

Talos指出VPNFilter感染的連網裝置超出預期，涵蓋了華碩、D-Link、華為、Ubiquiti、UPVEL與中興等等，搭配的惡意模組功能也不容小看，可將HTTPS加密傳輸降為HTTP，可抹減蹤跡與裝置運作的必要檔案。

文/陳曉莉 | 2018-06-07發表

思科（Cisco）旗下的威脅情報組織Talos上個月揭露了相信是由俄羅斯駭客集團Fancy Bear主導的VPNFilter攻擊行動，該行動感染了全球54個國家的50萬台網路裝置，經過進一步分析後，Talos本周指出，VPNFilter的能力超乎當初的想像，不論是感染範圍或是惡意模組的能力都更形嚴重。

根據Talos上個月的初步分析，VPNFilter鎖定感染Linksys、MikroTik、NETGEAR與TP-Link等品牌的路由器，以及QNAP網路儲存裝置，也對基於Modbus SCADA協定的工業控制系統特別有興趣，它能監控裝置流量、竊取網站憑證，亦可切斷裝置的連網能力或讓裝置無法使用，還能長久進駐受駭裝置，無法藉由簡單的重開機移除它，而是得回復裝置出廠配置。

然而，本周Talos發現太小看VPNFilter的能力了，它的感染範圍不僅限於上述，還包括ASUS、D-Link、華為、Ubiquiti、UPVEL與中興等裝置；所搭配的惡意模組ssller亦能把HTTPS加密傳輸降級為HTTP傳輸，dstr模組則能移除VPNFilter的蹤跡與裝置運作的必要檔案。

分析顯示，ssller模組能夠攔截該裝置上所有藉由port 80遞送的流量，可竊取資料並注入JavaScript，以用來攻陷同一網路所連結的其它裝置，亦試圖將HTTPS傳輸降級至HTTP。

至於dstr模組則會移除裝置正常運作所需的檔案，以造成被駭裝置失效，在移除裝置上的檔案之前，它會先抹滅VPNFilter行動的蹤跡。

Talos警告，這些能力意味著假使駭客成功地入侵這些終端裝置，即可於該環境中部署任何的惡意功能，像是rootkit、竊取資料或毀滅裝置。

https://www.ithome.com.tw/news/123708

點預防中VPNFilter?

chue

睇黎由 ROUTER 負責埋 VPN 呢 D FUNCTION 容易有風險,舉一反三,除 VPN,DDNS 都可能有潛在風險

freefdhk

睇黎由 ROUTER 負責埋 VPN 呢 D FUNCTION 容易有風險,舉一反三,除 VPN,DDNS 都可能有潛在風險 ...
chue 發表於 2018-6-7 21:44

    DDNS通常都係 GET METHOD 去 QUERY 個 JSON 去推送UPDATE DDNS RECORD.
定係 DNS Forward 就隨時HACK左去假網站.

不過而家有咩牌子係幸免到呢個問題?

chue

所以最好用另外既方法做呢D野,ROUTER 中招好麻煩

MelonGx

我屋企 router 全部唔用官方 FW
一係 DD 一係 Merlin
中招機會都有？

sancianyuanna

我屋企 router 全部唔用官方 FW
一係 DD 一係 Merlin
中招機會都有？
MelonGx 發表於 2018-6-8 08:39 AM

Merlin有說過現時會中招的ASUS Router全部都是MIPS架構,ARM的仍未上榜

chowjyc

The malware uses default credentials to infect the machines, meaning that it can be avoided by changing passwords and other security on devices.

alanh999

回覆 2# chue


    VPNFilter is just the name of the exploit. This exploit is not related to VPN services.

Original blog by Talos for reference.
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html