保护SOHO路由器免受VPNFilter恶意软件侵害的5大缓解建议

本文涉及的产品
.cn 域名,1个 12个月
文件存储 NAS,50GB 3个月
简介:

背景提要

上周,关于俄罗斯恶意行为者如何通过VPNFilter恶意软件,在全球范围内感染了超过500,000台家庭路由器的消息震惊网络,陷入威胁之中的家庭用户和安全管理人员急于寻求有效的缓解措施来保护自身安全。

思科Talos研究小组(率先发现该恶意软件)的主要成员兼Talos outreach团队主管Craig Williams表示,大多数SOHO路由器用户只需重新启动路由器并进行固件升级即可。他说,

基于我们的研究得出的好消息是,VPNFilter恶意软件只是利用常见的安全漏洞实施了常见的黑客技术,而不是利用较为麻烦的0 day漏洞实施的0 day攻击。

根据赛门铁克最新发布的博文介绍称,VPNFilter是一个三阶段的恶意软件,具有多种功能,可支持情报收集和破坏性的网络攻击操作:

· 第一阶段:主要目的是获取持久据点,以能够部署第二阶段恶意软件。第一阶段利用多个冗余命令和控制(C2)机制发现当前第二阶段部署服务器的IP地址,使得这种恶意软件极其强大并能够处理不可预测的C2基础设施变化。

· 第二阶段:恶意软件(通过不会在重启后存续)拥有主力情报收集平台中的常见功能,例如文件收集、命令执行、数据泄露和设备管理。此外,第二阶段的某些版本还具有自毁功能,可覆盖设备固件的关键部分并重新启动设备,使设备无法使用。

· 第三阶段:存在多个用作第二阶段恶意软件插件的已知模块。这些插件模块可以用于收集通过设备传输的流量的数据包嗅探器,同时还具有窃取网站凭证和监控Modbus SCADA协议的功能。另一个模块可以让第二阶段通过Tor进行通信。赛门铁克表示,重新启动设备将清除第二阶段或第三阶段的元素。但是,如果设备受到感染,阶段一的持续存在将意味着阶段二和阶段三可以重新启动运行。

赛门铁克技术总监Vikram Thakur表示,这就是FBI接管“toknowallall.com”域名的原因所在。通过sinkholing(下文有详细介绍)域名,任何进一步的攻击都会发送到FBI的服务器中,这些服务器可以拦截恶意软件。此外,Thakur也表示赞同Williams的观点,认为人们应该首先关闭路由器并进行固件升级。他说,

FBI认为这是一个可以趁机说教的时刻,利用人们对于VPNFilter恶意软件的紧张情绪,告诫人们应该重启自己的路由器,并设置固件升级等常规例程。此外,联邦政府还希望能够在未来一到两年内,改变人们保护家庭路由器的安全习惯。

黑客词典:sinkholing技术

有多余东西时,人们会放入收纳箱里;有太多的未接来电会转入语音信箱;当网络中大量僵尸肉鸡开始发送垃圾流量发起网络攻击时,就需要使用网络Sinkholing技术。

Sinkholing可以将网络中的数据流量进行有目的的转发,因此既可以是针对正常的数据流量也可以在发生网络攻击时作为一种防御措施。

当一个僵尸网络中的肉鸡向服务器发送数据时,就可以使用sinkholing技术将这些数据流量进行有目的的转发,以此来对僵尸网络进行监控、查找受到影响的域IP地址,最终瓦解僵尸网络的攻击,让那些肉鸡无法接受命令。举例来说,当我们需要访问一个网站时,需要在浏览器中输入这个网站的网址,网址就是网站的域名,域服务器会根据域名所绑定的IP地址找到网站主机。如果域服务器受到sinkholing攻击,那么浏览器中就会转发一个IP地址而不是网站域名了。因此很多sinkhole都会受到DNS域名服务器配置的影响,就像是电话的黄页本,关系到能不能找到对应的网站域名。

关于sinkholing技术,最著名的例子就是Marcus Hutchins利用sinkholing技术成功阻止了WannaCry恶意勒索软件的传播。

5条缓解建议

以下是Williams和Thakur为SOHO路由器用户和安全管理人员所提供的,针对VPNFilter恶意软件的防护举措:

1.SOHO用户应该重启路由器到其出厂设置

保护SOHO路由器免受VPNFilter恶意软件侵害的5大缓解建议

首先,把电源线从路由器上拔下,在关机状态下,用铅笔或回形针按住路由器背面的按钮,这会将设备恢复到出厂设置。然后,去到计算机上的路由器管理面板并安装最新的固件升级。检查是否有自动更新选项,如果有并设置完成最好,但是你可能会发现大多数家庭路由器没有自动更新选项,所以你必须要设置提醒,定期进行补丁升级。

2.企业安全管理人员应该告知其员工详情

企业安全管理者应该向所有家庭路由器用户和企业团队中的每位成员发送一封电子邮件,告知他们需要格外留意最新的VPNFilter恶意软件攻击。这包括任何使用Linksys、MikroTik、Netgear或TP-Link网络设备的人员。但是作为一项安全措施,特别是对于运行路由器两年以上的用户来说,为家庭路由器重启电源是有道理的。

3.锁定网络附加存储(Network Attached Storage,简称NAS)

所谓“网络附加存储”即一种将分布、独立的数据整合为大型、集中化管理的数据中心,以便于对不同主机和应用服务器进行访问的技术。许多企业习惯将他们的网络附加存储(NAS)设备开放连接到互联网上,这样确实很方便,因为数据易于访问,用户也可以获得更好的响应时间。但是思科公司Williams表示,因为已知DNSFilter恶意软件会攻击QNAP网络附加存储(NAS)设备,所以,最好还是将您的NAS隐藏在防火墙后面,以获取更好地保护。

4.在您的管理控制台上禁用远程访问功能

任何产品制造商都习惯站在用户的角度思考问题,以满足用户需求,当然,路由器制造商也不例外。大多数路由器制造商就想当然地认为用户想要远程访问其家庭路由器,于是将远程访问设置为默认启用功能。黑客们也已经洞悉制造商将远程访问功能默认启用的现实,并经常会利用该漏洞实施攻击行为。赛门铁克的Thakur表示,VPNFilter恶意软件就可以利用这种常见的漏洞来获得对系统的访问权限。所以,用户应该到计算机上的路由器管理控制面板中禁用该默认功能。如此一来,入侵者只有通过在你家中访问家庭网络,才能获取对你的家庭网络的访问权限。

5.更改路由器和所有物联网设备的默认密码

保护SOHO路由器免受VPNFilter恶意软件侵害的5大缓解建议

虽然思科公司的Williams 表示,目前并没有证据显示VPNFilter正在利用弱密码实施攻击,但是他和Thakur都认为,修改路由器上的默认密码是非常好的网络防护行为。有些专家甚至建议用户每隔30-45天就更换一次路由器的默认密码,但是考虑到用户家中的居住人数,以及使用设备数等因素,如此举措可能太过麻烦。此外,家庭用户还应该密切关注其IP地址的使用动态。

从智能牙刷到智能烤面包机和HVAC(暖通空调)系统,许多家用设备都带有非常简单的密码组合,例如“admin”或“1234”等等。一旦诸如VPNFilter之类的恶意软件,通过您的路由器访问了您的家庭网络,然后在利用带有弱密码的物联网设备实施黑客攻击就是非常容易的事情了。


原文发布时间为:2018-06-7

本文来自云栖社区合作伙伴“嘶吼网”,了解相关信息可以关注“嘶吼网”。

相关文章
|
1月前
|
SQL 安全 网络安全
网络安全的盾牌与矛:探索漏洞防御与加密技术
【10月更文挑战第39天】在数字时代的浪潮中,网络安全成了守护个人隐私与企业资产的坚固盾牌。本文将带你深入了解网络安全的两大支柱——漏洞防御与加密技术。我们将从基础概念入手,逐步揭示网络攻击者如何利用安全漏洞发起攻击,同时探讨防御者如何通过加密技术和安全意识的提升来构建坚不可摧的防线。你将学习到如何识别常见的安全威胁,以及采取哪些实际措施来保护自己的数字足迹。让我们共同铸就一道网络安全的长城,为信息时代保驾护航。
|
3月前
|
SQL 安全 网络安全
网络安全的盾牌与矛:漏洞防御与加密技术
【9月更文挑战第12天】在数字时代的浪潮中,网络安全成为保护信息资产不可或缺的防线。本文深入探讨了网络安全的核心问题——安全漏洞及其防范措施,同时对加密技术进行了详细解读,旨在提高公众的安全意识,并分享实用的防护策略。从基础概念到实际操作,我们一步步揭示如何在日益复杂的网络环境中保护自己的数据不受威胁。
|
4月前
|
SQL 安全 网络安全
网络防御的盾牌:揭秘网络安全漏洞与加密技术的博弈
【8月更文挑战第18天】在数字时代的棋局中,网络安全漏洞和加密技术如同对弈双方,不断上演着攻防战。本文将深入探讨网络安全的薄弱环节,并揭示如何通过先进的加密技术和提升安全意识来构筑防线。我们将从漏洞的形成、利用到防御策略进行全方位的剖析,并分享如何在日常生活中提高个人信息的安全等级。
44 2
|
5月前
|
SQL 存储 安全
网络防御的盾牌与矛:探索网络安全漏洞、加密技术及安全意识
在数字化时代的浪潮中,网络安全成为保护信息资产的关键战场。本文深入剖析了网络安全的三大核心领域:安全漏洞、加密技术和用户安全意识。通过具体案例,揭示了常见安全漏洞的类型及其成因;探讨了加密技术的原理、应用和面临的挑战;并强调了提升个人和组织安全意识的必要性。文章旨在为读者提供实用的知识框架,以增强网络防护能力,抵御日益复杂的网络威胁。 【7月更文挑战第19天】
40 2
|
4月前
|
SQL 安全 网络安全
网络防御的盾牌与矛:探索漏洞、加密与安全意识
在数字时代的浪潮中,网络安全成为维系信息社会健康运转的关键。本文深入剖析了网络安全漏洞的成因与危害,探讨了加密技术在保护数据隐私和完整性方面的作用,并强调了提升个人及组织安全意识的重要性。通过分析具体案例,文章旨在为读者提供防范网络威胁的策略和建议,促进构建更为坚实的网络安全防线。
|
安全 数据安全/隐私保护
网络诈骗中的黑客手段
网络诈骗中的黑客手段
|
域名解析 安全 网络协议
暴风影音遭攻击:六省区电信网络大瘫痪
  5月19日21:50开始到24时,我国江苏、安徽、广西、海南、甘肃、浙江六省区出现网络故障,很多互联网用户发现访问互联网速度变慢或者干脆无法访问网站。昨天该“事故”牵涉的中国电信、暴风影音均作出了回应。
1516 0
|
安全 数据安全/隐私保护 数据中心