雷鋒網(wǎng)消息，過去幾個(gè)月里感染了全球 54 個(gè)國家超過 50 萬臺(tái)路由器和 NAS 設(shè)備的 VPNFilter 惡意軟件恐怕還得再肆虐一段時(shí)間，它的破壞力可能比我們想象中還強(qiáng)。

思科 Talos 團(tuán)隊(duì)今天（6 月 7 日）發(fā)布了一份最新研究報(bào)告，透露了不少有關(guān) VPNFilter 的技術(shù)細(xì)節(jié)。最初，業(yè)界普遍認(rèn)為它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器，但事實(shí)上華碩、D-Link、華為、Ubiquiti、UPVEL 和中興等品牌的產(chǎn)品也難逃魔掌。

這樣一來，受到波及的設(shè)備名單也大幅擴(kuò)容，從 16 款直接暴增至 71 款，這一數(shù)字未來可能還會(huì)繼續(xù)增長（文末附有完整的受影響設(shè)備名單）。

除此之外，研究人員還發(fā)現(xiàn)了 VPNFilter 的新大招，它包裝在三級插件中，是該惡意軟件三段式部署系統(tǒng)的一部分。

思科專家表示，他們發(fā)現(xiàn)了以下兩個(gè)新的三級插件。

ssler—借助中間人攻擊在端口 80 攔截和修改網(wǎng)絡(luò)流量的插件。該插件還支持將 HTTPS 降級至 HTTP。

dstr—重寫設(shè)備固件檔案的插件。思科已經(jīng)發(fā)現(xiàn) VPNFilter 能抹掉設(shè)備固件，但在最新的報(bào)告中才在三級插件中定位到該功能。

除了這兩個(gè)最新的，思科此前還發(fā)現(xiàn)了兩個(gè)插件。

ps—能嗅探網(wǎng)絡(luò)信息包并探測特定網(wǎng)絡(luò)流量的插件。思科相信，這款插件是用來尋找 Modbus TCP/IP 信息包的，一般為工業(yè)軟件和 SCADA 設(shè)備（監(jiān)測控制和數(shù)據(jù)采集）所用。不過，最近的跡象顯示，該插件還能搜尋連接在 TP-Link R600 虛擬專用網(wǎng)絡(luò)上的工業(yè)設(shè)備。

tor—VPNFilter 機(jī)器人會(huì)利用該插件通過 tor 網(wǎng)絡(luò)與指揮控制服務(wù)器通信。

關(guān)于 VPNFilter 的技術(shù)細(xì)節(jié)其實(shí)已經(jīng)寫入思科的第一份報(bào)告了，最新的插件則放在了今天發(fā)布的報(bào)告中。

雷鋒網(wǎng)了解到，其實(shí)此前研究人員就發(fā)現(xiàn) VPNFilter 的僵尸網(wǎng)絡(luò)感染了全世界的設(shè)備，但當(dāng)他們發(fā)現(xiàn)該網(wǎng)絡(luò)正在對烏克蘭的 IT 基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊，才將該發(fā)現(xiàn)公之于眾。許多人相信，黑客會(huì)在今年的歐冠決賽時(shí)發(fā)動(dòng)攻擊（在烏克蘭基輔舉行）。

還好，F(xiàn)BI 及時(shí)出手，通過控制那臺(tái)指揮控制服務(wù)器打掉了這個(gè)僵尸網(wǎng)絡(luò)。不過，VPNFilter 背后的勢力可不弱，它們可能與俄羅斯軍隊(duì)有染。最近，該組織又開始新建另一個(gè)僵尸網(wǎng)絡(luò)，目標(biāo)還是感染烏克蘭的網(wǎng)絡(luò)。

下面是思科公布的最新名單，包含了被 VPNFilter 盯上的路由器和 NAS 設(shè)備。上個(gè)月思科就表示，VPNFilter 不會(huì)利用零日攻擊來感染設(shè)備，這就意味著所有有漏洞的設(shè)備只要升級到最新固件，就能逃脫惡意軟件的魔掌。

如果用戶不能升級固件，或者干脆買個(gè)新路由器，也有清除惡意軟件的方法。不過，想從受感染設(shè)備上清楚惡意軟件可不容易，畢竟它只是惡意軟件鏈上的一環(huán)，即使殺掉也能在路由器和 IoT 設(shè)備上完成持續(xù)重啟。此外，即使感染了 VPNFilter，路由器也不會(huì)出現(xiàn)什么明顯“癥狀”。因此，除非你會(huì)掃描路由器固件，要不被感染了恐怕你都不知道。所以，最好的辦法還是經(jīng)常檢查更新并及時(shí)升級最新固件吧。

華碩設(shè)備:

RT-AC66U（新增）

RT-N10（新增）

RT-N10E（新增）

RT-N10U（新增）

RT-N56U（新增）

RT-N66U（新增）

D-Link 設(shè)備:

DES-1210-08P（新增）

DIR-300（新增）

DIR-300A（新增）

DSR-250N（新增）

DSR-500N（新增）

DSR-1000（新增）

DSR-1000N（新增）

華為設(shè)備:

HG8245（新增）

Linksys 設(shè)備:

E1200

E2500

E3000（新增）

E3200（新增）

E4200（新增）

RV082（新增）

WRVS4400N

Mikrotik 設(shè)備: (升級固件 6.38.5 即可修補(bǔ)漏洞)

CCR1009（新增）

CCR1016

CCR1036

CCR1072

CRS109（新增）

CRS112（新增）

CRS125（新增）

RB411（新增）

RB450（新增）

RB750（新增）

RB911（新增）

RB921（新增）

RB941（新增）

RB951（新增）

RB952（新增）

RB960（新增）

RB962（新增）

RB1100（新增）

RB1200（新增）

RB2011（新增）

RB3011（新增）

RB Groove（新增）

RB Omnitik（新增）

STX5（新增）

Netgear 設(shè)備:

DG834（新增）

DGN1000（新增）

DGN2200

DGN3500（新增）

FVS318N（新增）

MBRN3000（新增）

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200（新增）

WNR4000（新增）

WNDR3700（新增）

WNDR4000（新增）

WNDR4300（新增）

WNDR4300-TN（新增）

UTM50（新增）

QNAP 設(shè)備:

TS251

TS439 Pro

其他運(yùn)行 QTS 軟件的 QNAP NAS 設(shè)備

TP-Link設(shè)備:

R600VPN

TL-WR741ND（新增）

TL-WR841N（新增）

Ubiquiti 設(shè)備:

NSM2（新增）

PBE M5（新增）

UPVEL 設(shè)備:

未知型號(hào)（新增）

中興設(shè)備:

ZXHN H108N（新增）

雷鋒網(wǎng) Via.Bleeping Computer

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。