背景提要
上周,关于俄罗斯恶意行为者如何通过VPNFilter恶意软件,在全球范围内感染了超过500,000台家庭路由器的消息震惊网络,陷入威胁之中的家庭用户和安全管理人员急于寻求有效的缓解措施来保护自身安全。
思科Talos研究小组(率先发现该恶意软件)的主要成员兼Talos outreach团队主管Craig Williams表示,大多数SOHO路由器用户只需重新启动路由器并进行固件升级即可。他说,
基于我们的研究得出的好消息是,VPNFilter恶意软件只是利用常见的安全漏洞实施了常见的黑客技术,而不是利用较为麻烦的0 day漏洞实施的0 day攻击。
根据赛门铁克最新发布的博文介绍称,VPNFilter是一个三阶段的恶意软件,具有多种功能,可支持情报收集和破坏性的网络攻击操作:
· 第一阶段:主要目的是获取持久据点,以能够部署第二阶段恶意软件。第一阶段利用多个冗余命令和控制(C2)机制发现当前第二阶段部署服务器的IP地址,使得这种恶意软件极其强大并能够处理不可预测的C2基础设施变化。
· 第二阶段:恶意软件(通过不会在重启后存续)拥有主力情报收集平台中的常见功能,例如文件收集、命令执行、数据泄露和设备管理。此外,第二阶段的某些版本还具有自毁功能,可覆盖设备固件的关键部分并重新启动设备,使设备无法使用。
· 第三阶段:存在多个用作第二阶段恶意软件插件的已知模块。这些插件模块可以用于收集通过设备传输的流量的数据包嗅探器,同时还具有窃取网站凭证和监控Modbus SCADA协议的功能。另一个模块可以让第二阶段通过Tor进行通信。赛门铁克表示,重新启动设备将清除第二阶段或第三阶段的元素。但是,如果设备受到感染,阶段一的持续存在将意味着阶段二和阶段三可以重新启动运行。
赛门铁克技术总监Vikram Thakur表示,这就是FBI接管“toknowallall.com”域名的原因所在。通过sinkholing(下文有详细介绍)域名,任何进一步的攻击都会发送到FBI的服务器中,这些服务器可以拦截恶意软件。此外,Thakur也表示赞同Williams的观点,认为人们应该首先关闭路由器并进行固件升级。他说,
FBI认为这是一个可以趁机说教的时刻,利用人们对于VPNFilter恶意软件的紧张情绪,告诫人们应该重启自己的路由器,并设置固件升级等常规例程。此外,联邦政府还希望能够在未来一到两年内,改变人们保护家庭路由器的安全习惯。
黑客词典:sinkholing技术
有多余东西时,人们会放入收纳箱里;有太多的未接来电会转入语音信箱;当网络中大量僵尸肉鸡开始发送垃圾流量发起网络攻击时,就需要使用网络Sinkholing技术。
Sinkholing可以将网络中的数据流量进行有目的的转发,因此既可以是针对正常的数据流量也可以在发生网络攻击时作为一种防御措施。
当一个僵尸网络中的肉鸡向服务器发送数据时,就可以使用sinkholing技术将这些数据流量进行有目的的转发,以此来对僵尸网络进行监控、查找受到影响的域IP地址,最终瓦解僵尸网络的攻击,让那些肉鸡无法接受命令。举例来说,当我们需要访问一个网站时,需要在浏览器中输入这个网站的网址,网址就是网站的域名,域服务器会根据域名所绑定的IP地址找到网站主机。如果域服务器受到sinkholing攻击,那么浏览器中就会转发一个IP地址而不是网站域名了。因此很多sinkhole都会受到DNS域名服务器配置的影响,就像是电话的黄页本,关系到能不能找到对应的网站域名。
关于sinkholing技术,最著名的例子就是Marcus Hutchins利用sinkholing技术成功阻止了WannaCry恶意勒索软件的传播。
5条缓解建议
以下是Williams和Thakur为SOHO路由器用户和安全管理人员所提供的,针对VPNFilter恶意软件的防护举措:
1.SOHO用户应该重启路由器到其出厂设置
首先,把电源线从路由器上拔下,在关机状态下,用铅笔或回形针按住路由器背面的按钮,这会将设备恢复到出厂设置。然后,去到计算机上的路由器管理面板并安装最新的固件升级。检查是否有自动更新选项,如果有并设置完成最好,但是你可能会发现大多数家庭路由器没有自动更新选项,所以你必须要设置提醒,定期进行补丁升级。
2.企业安全管理人员应该告知其员工详情
企业安全管理者应该向所有家庭路由器用户和企业团队中的每位成员发送一封电子邮件,告知他们需要格外留意最新的VPNFilter恶意软件攻击。这包括任何使用Linksys、MikroTik、Netgear或TP-Link网络设备的人员。但是作为一项安全措施,特别是对于运行路由器两年以上的用户来说,为家庭路由器重启电源是有道理的。
3.锁定网络附加存储(Network Attached Storage,简称NAS)
所谓“网络附加存储”即一种将分布、独立的数据整合为大型、集中化管理的数据中心,以便于对不同主机和应用服务器进行访问的技术。许多企业习惯将他们的网络附加存储(NAS)设备开放连接到互联网上,这样确实很方便,因为数据易于访问,用户也可以获得更好的响应时间。但是思科公司Williams表示,因为已知DNSFilter恶意软件会攻击QNAP网络附加存储(NAS)设备,所以,最好还是将您的NAS隐藏在防火墙后面,以获取更好地保护。
4.在您的管理控制台上禁用远程访问功能
任何产品制造商都习惯站在用户的角度思考问题,以满足用户需求,当然,路由器制造商也不例外。大多数路由器制造商就想当然地认为用户想要远程访问其家庭路由器,于是将远程访问设置为默认启用功能。黑客们也已经洞悉制造商将远程访问功能默认启用的现实,并经常会利用该漏洞实施攻击行为。赛门铁克的Thakur表示,VPNFilter恶意软件就可以利用这种常见的漏洞来获得对系统的访问权限。所以,用户应该到计算机上的路由器管理控制面板中禁用该默认功能。如此一来,入侵者只有通过在你家中访问家庭网络,才能获取对你的家庭网络的访问权限。
5.更改路由器和所有物联网设备的默认密码
虽然思科公司的Williams 表示,目前并没有证据显示VPNFilter正在利用弱密码实施攻击,但是他和Thakur都认为,修改路由器上的默认密码是非常好的网络防护行为。有些专家甚至建议用户每隔30-45天就更换一次路由器的默认密码,但是考虑到用户家中的居住人数,以及使用设备数等因素,如此举措可能太过麻烦。此外,家庭用户还应该密切关注其IP地址的使用动态。
从智能牙刷到智能烤面包机和HVAC(暖通空调)系统,许多家用设备都带有非常简单的密码组合,例如“admin”或“1234”等等。一旦诸如VPNFilter之类的恶意软件,通过您的路由器访问了您的家庭网络,然后在利用带有弱密码的物联网设备实施黑客攻击就是非常容易的事情了。
原文发布时间为:2018-06-7