央廣網(wǎng)上海5月25日消息（記者傅聞捷 韓曉余 通訊員楊文）5月23日晚，思科公司Talos團隊發(fā)布預(yù)警稱，一款名為“VPNFilter”的最新惡意軟件正在全球蔓延，預(yù)估有54個國家遭入侵，受感染設(shè)備的數(shù)量至少為 50 萬臺。

　　該團隊研究分析結(jié)果顯示， VPNFilter破壞性較強，可通過燒壞用戶的設(shè)備來掩蓋蹤跡，比簡單地刪除惡意軟件痕跡更深入，利用 VPNFilter 惡意軟件，攻擊者還可以達(dá)到多種其他目的，如監(jiān)視網(wǎng)絡(luò)流量并攔截敏感網(wǎng)絡(luò)的憑證；窺探到 SCADA 設(shè)備的網(wǎng)絡(luò)流量，并部署針對 ICS 基礎(chǔ)設(shè)施的專用惡意軟件；利用被感染設(shè)備組成的僵尸網(wǎng)絡(luò)來隱藏其他惡意攻擊的來源；導(dǎo)致路由器癱瘓并使受攻擊的大部分互聯(lián)網(wǎng)基礎(chǔ)設(shè)施無法使用。如果需要的話，類似命令可大規(guī)模執(zhí)行，可導(dǎo)致成千上萬的設(shè)備無法使用。

　　目前受影響的設(shè)備，主要包括有小型和家庭辦公室（SOHO）中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 網(wǎng)絡(luò)附加存儲（NAS）設(shè)備，尚未發(fā)現(xiàn)其他網(wǎng)絡(luò)設(shè)備供應(yīng)商受感染。

思科公司公布了VPNFilter發(fā)起攻擊的流程示意圖

　　據(jù)介紹，VPNFilter屬于高度模塊化的框架，允許快速更改操作目標(biāo)設(shè)備，同時能為情報收集和尋找攻擊平臺提供支撐。其實施攻擊的路徑主要分為三個階段。第1階段惡意軟件會通過重新啟動植入，該階段主要目的是獲得一個持久化存在的立足點，并使第2階段的惡意軟件得以部署。

　　第2階段惡意軟件擁有智能收集平臺中所期望的功能，比如文件收集、命令執(zhí)行、數(shù)據(jù)過濾和設(shè)備管理，某些版本也具有自毀功能，覆蓋了設(shè)備固件的關(guān)鍵部分，并可重新引導(dǎo)設(shè)備，使其無法使用。

　　此外，還有多個階段3的模塊作為第2階段惡意軟件的插件，提供附加功能，當(dāng)前思科Talos團隊已發(fā)現(xiàn)了兩個插件模塊:一個數(shù)據(jù)包嗅探器來收集通過該設(shè)備的流量，包括盜竊網(wǎng)站憑證和監(jiān)控Modbus SCADA協(xié)議，以及允許第2階段與Tor通信的通信模塊，據(jù)稱仍然有其他幾個插件模塊但當(dāng)前還沒有發(fā)現(xiàn)。

　　“針對VPNFilter惡意軟件和潛在擴展的攻擊面，我們有幾點防護建議。”25日，來自阿里巴巴安全部獵戶座實驗室高級安全專家介紹稱，由于受影響的設(shè)備大多數(shù)直接連接到互聯(lián)網(wǎng)，攻擊者和設(shè)備之間大多沒有安全設(shè)備，大多數(shù)受影響的設(shè)備有公開漏洞，且大多數(shù)都沒有內(nèi)置反惡意軟件功能，這使得此類威脅防護比較困難。

　　“阿里安全獵戶座實驗室針對系統(tǒng)平臺、軟硬件基礎(chǔ)設(shè)施，底層的傳統(tǒng)和新興威脅有持續(xù)關(guān)注研究。”獵戶座實驗室安全專家介紹稱，解決方案主要包括幾個方面。

　　首先需要確保設(shè)備與補丁屬于最新版本，同時應(yīng)該及時應(yīng)用更新補丁，避免存在公開漏洞；另外，設(shè)備對外最小化開放端口服務(wù)，減少攻擊面；設(shè)備默認(rèn)口令需要及時變更，同時滿足復(fù)雜度要求；Talos開發(fā)并部署了100多個Snort簽名，用于公開已知的與此威脅相關(guān)的設(shè)備的漏洞。這些規(guī)則已經(jīng)部署在公共Snort集合中，可以使用這些規(guī)則來保護設(shè)備；對VPNFilter涉及的域名/ip地址做黑名單，并將其與該威脅關(guān)聯(lián)起來，進行檢測攔截防御；路由器和NAS設(shè)備被感染，建議用戶恢復(fù)出廠默認(rèn)值，升級最新版本打上最新補丁并重新啟動。