70余款设备易受 VPNFilter 攻击，华为、中兴的路由器在列

VPNFilter实施攻击主要分为三个阶段，第三阶段新插件解锁新功能...

更多全球网络安全资讯尽在E安全官网www.easyaq.com

E安全6月8日讯思科和赛门铁克公司于美国时间2018年5月23日陆续发出安全预警称，黑客利用一个复杂的规模化恶意软件 VPNFilter，感染了全球54个国家的50多万台路由器，并构建了庞大的僵尸网络。思科经进一步分析后于6月6日发布最新报告指出，VPNFilter 的感染情况远比预想的糟糕。易受 VPNFilter 攻击的设备从16款增加到70余款，甚至可能更多。

美国部分现任官员和安全专家认为，VPNFilter 与俄罗斯黑客组织 APT28 有关。

70余款设备易受 VPNFilter 攻击

思科

Talos 安全团队在报告中表示，VPNFilter 感染的设备远不止此前披露的 Linksys、MikroTik

、Netgear、TP-Link、QNAP

等品牌的16款路由器和网络附加存储（NAS）设备。这款恶意软件还可感染更多品牌的路由器，包括华硕、D-Link、华为、Ubiquiti、UPVEL

和中兴，易受影响的设备列表可参见文末。

VPNFilter第三阶段新插件解锁新功能

据研究人员此前的披露，VPNFilter 属于高度模块化的恶意软件框架，实施攻击主要分为三个阶段。

第一阶段恶意软件会通过重启植入，以获取持久立足点，并使第二阶段的恶意软件得以部署，其主要作用是支持第三阶段的插件架构。第三阶段的插件功能包括嗅探网络数据包并拦截流量，监控是否存在

Modubus SCADA 协议，另外通过 Tor 匿名网络与民领域控制（C&C）服务器通信。

此前发现的第三阶段的两个插件如下：

Ps：嗅探网络数据包并检测某些类型的网络流量。思科之前认为，该插件的作用是嗅探 Modbus TCP/IP 数据包。研究人员在最新的报告中称，这款插件还可能用来寻找通过 TP-Link R600 虚拟专用网连接的工业设备。
Tor：通过Tor网络与 C&C 服务器通信。

第三阶段新插件如下：

ssler：通过中间人攻击拦截并修改端口80上的网络流量。该插件也支持将 HTTPS 降级为 HTTP。
Dstr ：用于覆写设备固件的文件。思科认为，这个插件可擦除设备固件。

如何移除VPNFilter？

思科上个月曾表示，VPNFilter 并未使用 0Day 漏洞感染设备，因此老旧固件版本的设备存在感染风险。虽然重启设备将移除VPNFilter 第二阶段和第三阶段的组件，但第一阶段仍会在重启后继续存活。研究人员建议，用户升级到最新的固件版本。

如果用户无法更新路由器固件，用户可通过以下步骤永久移除 VPNFilter：

恢复到出厂设置；
修改默认管理员密码；
禁用远程管理功能。

虽然上述步骤可防范 VPNFilter 感染，抵御当前已知的威胁，但却无法一劳永逸地保护设备。一旦当前固件出现新的漏洞利用方式，路由器仍易遭受感染。

已知受影响的设备列表

华硕设备：

RT-AC66U（新）
RT-N10（新）
RT-N10E（新）
RT-N10U（新）
RT-N56U（新）
RT-N66U（新）

D-Link设备：

DES-1210-08P（新）
DIR-300（新）
DIR-300A（新）
DSR-250N（新）
DSR-500N（新）
DSR-1000（新）
DSR-1000N（新）

华为设备：

HG8245（新）

Linksys设备：

E1200
E2500
E3000（新）
E3200（新）
E4200（新）
RV082（新）
WRVS4400N

Mikrotik设备：（RouterOS版本6.38.5已修复问题）

CCR1009（新）
CCR1016
CCR1036
CCR1072
CRS109（新）
CRS112（新）
CRS125（新）
RB411（新）
RB450（新）
RB750（新）
RB911（新）
RB921（新）
RB941（新）
RB951（新）
RB952（新）
RB960（新）
RB962（新）
RB1100（新）
RB1200（新）
RB2011（新）
RB3011（新）
RB Groove（新）
RB Omnitik（新）
STX5（新）

Netgear设备：

DG834（新）
DGN1000（新）
DGN2200
DGN3500（新）
FVS318N（新）
MBRN3000（新）
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200（新）
WNR4000（新）
WNDR3700（新）
WNDR4000（新）
WNDR4300（新）
WNDR4300-TN（新）
UTM50（新）