多階段惡意軟體VPNFilter新發現七個第三階段模組
原文地址:https://www.hackeye.net/securityevent/16539.aspx
VPNFilter 是一種高度模組化的多階段惡意軟體,它已經感染了全球數十萬個網路裝置,功能和破壞性都較為強大。思科最近在原來分析的基礎上,另外發現了七個第三階段VPNFilter模組,這些模組為惡意軟體增加了重要功能,例如擴充套件了在受損網路裝置上使用終端裝置的能力。新功能還包括資料過濾和多重加密隧道功能,以遮蔽命令和控制(C2)和資料過濾流量等。(回顧:VPNFilter威脅升級,華為、中興產品亦受影響;VPNFilter惡意軟體未引起重視,受影響裝置被發現仍存在漏洞)
自研究人員首次發現惡意軟體以來,他們發現VPNFilter 破壞力越來越強,這些額外的VPNFilter第三階段模組的發現大大增加了我們對已知威脅的理解。這些模組共同增加的功能有:
- 可用於對映網路和利用連線到VPNFilter受損裝置的端點系統的附加功能
- 威脅行為者混淆和/或加密惡意通訊的多種方式,如C2和資料過濾的通訊
- 可以利用多種工具識別其他受害者,這些受害者可以通過VPNFilter在網路內橫向移動的裝置上從攻擊者的立足點獲取,以及識別演員感興趣的其他網路中的新邊緣裝置
- 構建分散式代理網路的能力,可以在未來不相關的攻擊中加以利用,從而提供一種模糊攻擊流量的真正來源的方法,從而使攻擊看起來像是來自以前受到VPNFilter攻擊的裝置。
新模組
“htpx”、“ndbr”、“nm”、“netfilter”、“portforwarding”、“socks5proxy”和“tcpvpn”七個模組的功能各有不同。
“nm”模組為惡意軟體的武器庫增加了一項重要功能:它被用來掃描和對映受感染裝置的本地網路上的其他裝置。下載後,模組將ICMP echo請求設定為受感染主機,然後該主機將嘗試通過埠掃描對映網路。例如,它已經利用MikroTik網路發現協議(MNDP)確定本地網路上的任何其他MikroTik裝置——如果MikroTik裝置回覆ping,該模組將提取其MAC地址,系統標識、版本號、平臺型別,以秒為單位的正常執行時間,RouterOS軟體ID,RouterBoard模型和介面名稱。
“htpx”是一個端點開發模組,支援可執行的注入。該模組主要檢查HTTP通訊並標識Windows可執行檔案的存在——一旦檢測到這些檔案,模組就會標記它們。研究人員分析,攻擊者可以利用這個模組下載二進位制有效載荷,並允許在Windows可執行程式通過受損裝置時,對其進行實時修補。
心版本的VPNFilter還攜帶了一個被稱為netfilter的拒絕服務模組,研究人員推測,這個模組的設計可能是為了拒絕訪問特定形式的加密應用程式,可能是為了試圖讓受害者與一個服務進行通訊供他們首選使用。研究者注意到,他們分析的樣本中包含了168個IP地址,這些地址與WhatsApp、騰訊和亞馬遜(Amazon)等加密應用程式有關。
該惡意軟體還包含了其他一些棘手的模組,比如“ndbr”,這是一個多功能的安全套接字SSH工具,可以對其他ip進行埠掃描。將網路流量轉發到攻擊者指定的基礎設施的“portfowarding”工具;“tcpvpn”,在受損裝置上建立反向tcpvpn;以及“socks5proxy”,它支援在受感染的裝置上建立SOCKS5代理。
未解之謎
VPNFilter惡意軟體的幕後黑手至今仍未明晰,但早在5月時,思科就分析背後很有可能有政府勢力支援或參與;攻擊者在首次攻擊時如何獲得初始訪問許可權,幕後黑手是否試圖重建訪問。
無論答案如何,都不難看出VPNFilter的開發者能力卓越,並且不斷致力於以多種方式實現目標,VPNFilter的開發和使用仍將不斷優化並投入使用,這對受害者來說無疑是一個噩耗。