原文地址：https://www.hackeye.net/securityevent/16539.aspx

VPNFilter 是一種高度模組化的多階段惡意軟體，它已經感染了全球數十萬個網路裝置，功能和破壞性都較為強大。思科最近在原來分析的基礎上，另外發現了七個第三階段VPNFilter模組，這些模組為惡意軟體增加了重要功能，例如擴充套件了在受損網路裝置上使用終端裝置的能力。新功能還包括資料過濾和多重加密隧道功能，以遮蔽命令和控制(C2)和資料過濾流量等。（回顧：VPNFilter威脅升級，華為、中興產品亦受影響；VPNFilter惡意軟體未引起重視，受影響裝置被發現仍存在漏洞）

自研究人員首次發現惡意軟體以來，他們發現VPNFilter 破壞力越來越強，這些額外的VPNFilter第三階段模組的發現大大增加了我們對已知威脅的理解。這些模組共同增加的功能有：

• 可用於對映網路和利用連線到VPNFilter受損裝置的端點系統的附加功能
• 威脅行為者混淆和/或加密惡意通訊的多種方式，如C2和資料過濾的通訊
• 可以利用多種工具識別其他受害者，這些受害者可以通過VPNFilter在網路內橫向移動的裝置上從攻擊者的立足點獲取，以及識別演員感興趣的其他網路中的新邊緣裝置
• 構建分散式代理網路的能力，可以在未來不相關的攻擊中加以利用，從而提供一種模糊攻擊流量的真正來源的方法，從而使攻擊看起來像是來自以前受到VPNFilter攻擊的裝置。

新模組

“htpx”、“ndbr”、“nm”、“netfilter”、“portforwarding”、“socks5proxy”和“tcpvpn”七個模組的功能各有不同。

“nm”模組為惡意軟體的武器庫增加了一項重要功能:它被用來掃描和對映受感染裝置的本地網路上的其他裝置。下載後，模組將ICMP echo請求設定為受感染主機，然後該主機將嘗試通過埠掃描對映網路。例如,它已經利用MikroTik網路發現協議(MNDP)確定本地網路上的任何其他MikroTik裝置——如果MikroTik裝置回覆ping,該模組將提取其MAC地址,系統標識、版本號、平臺型別,以秒為單位的正常執行時間,RouterOS軟體ID,RouterBoard模型和介面名稱。

“htpx”是一個端點開發模組，支援可執行的注入。該模組主要檢查HTTP通訊並標識Windows可執行檔案的存在——一旦檢測到這些檔案，模組就會標記它們。研究人員分析，攻擊者可以利用這個模組下載二進位制有效載荷，並允許在Windows可執行程式通過受損裝置時，對其進行實時修補。

心版本的VPNFilter還攜帶了一個被稱為netfilter的拒絕服務模組，研究人員推測，這個模組的設計可能是為了拒絕訪問特定形式的加密應用程式，可能是為了試圖讓受害者與一個服務進行通訊供他們首選使用。研究者注意到，他們分析的樣本中包含了168個IP地址，這些地址與WhatsApp、騰訊和亞馬遜(Amazon)等加密應用程式有關。

該惡意軟體還包含了其他一些棘手的模組，比如“ndbr”，這是一個多功能的安全套接字SSH工具，可以對其他ip進行埠掃描。將網路流量轉發到攻擊者指定的基礎設施的“portfowarding”工具;“tcpvpn”，在受損裝置上建立反向tcpvpn;以及“socks5proxy”，它支援在受感染的裝置上建立SOCKS5代理。

未解之謎

VPNFilter惡意軟體的幕後黑手至今仍未明晰，但早在5月時，思科就分析背後很有可能有政府勢力支援或參與；攻擊者在首次攻擊時如何獲得初始訪問許可權，幕後黑手是否試圖重建訪問。

無論答案如何，都不難看出VPNFilter的開發者能力卓越，並且不斷致力於以多種方式實現目標，VPNFilter的開發和使用仍將不斷優化並投入使用，這對受害者來說無疑是一個噩耗。