雷鋒網(wǎng)消息，過(guò)去幾個(gè)月里感染了全球 54 個(gè)國(guó)家超過(guò) 50 萬(wàn)臺(tái)路由器和 NAS 設(shè)備的 VPNFilter 惡意軟件恐怕還得再肆虐一段時(shí)間，它的破壞力可能比我們想象中還強(qiáng)。

思科 Talos 團(tuán)隊(duì)今天（6 月 7 日）發(fā)布了一份最新研究報(bào)告，透露了不少有關(guān) VPNFilter 的技術(shù)細(xì)節(jié)。最初，業(yè)界普遍認(rèn)為它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器，但事實(shí)上華碩、D-Link、華為、Ubiquiti、UPVEL 和中興等品牌的產(chǎn)品也難逃魔掌。

這樣一來(lái)，受到波及的設(shè)備名單也大幅擴(kuò)容，從 16 款直接暴增至 71 款，這一數(shù)字未來(lái)可能還會(huì)繼續(xù)增長(zhǎng)（文末附有完整的受影響設(shè)備名單）。

除此之外，研究人員還發(fā)現(xiàn)了 VPNFilter 的新大招，它包裝在三級(jí)插件中，是該惡意軟件三段式部署系統(tǒng)的一部分。

思科專家表示，他們發(fā)現(xiàn)了以下兩個(gè)新的三級(jí)插件。

ssler—借助中間人攻擊在端口 80 攔截和修改網(wǎng)絡(luò)流量的插件。該插件還支持將 HTTPS 降級(jí)至 HTTP。

dstr—重寫設(shè)備固件檔案的插件。思科已經(jīng)發(fā)現(xiàn) VPNFilter 能抹掉設(shè)備固件，但在最新的報(bào)告中才在三級(jí)插件中定位到該功能。

除了這兩個(gè)最新的，思科此前還發(fā)現(xiàn)了兩個(gè)插件。

ps—能嗅探網(wǎng)絡(luò)信息包并探測(cè)特定網(wǎng)絡(luò)流量的插件。思科相信，這款插件是用來(lái)尋找 Modbus TCP/IP 信息包的，一般為工業(yè)軟件和 SCADA 設(shè)備（監(jiān)測(cè)控制和數(shù)據(jù)采集）所用。不過(guò)，最近的跡象顯示，該插件還能搜尋連接在 TP-Link R600 虛擬專用網(wǎng)絡(luò)上的工業(yè)設(shè)備。

tor—VPNFilter 機(jī)器人會(huì)利用該插件通過(guò) tor 網(wǎng)絡(luò)與指揮控制服務(wù)器通信。

關(guān)于 VPNFilter 的技術(shù)細(xì)節(jié)其實(shí)已經(jīng)寫入思科的第一份報(bào)告了，最新的插件則放在了今天發(fā)布的報(bào)告中。

雷鋒網(wǎng)了解到，其實(shí)此前研究人員就發(fā)現(xiàn) VPNFilter 的僵尸網(wǎng)絡(luò)感染了全世界的設(shè)備，但當(dāng)他們發(fā)現(xiàn)該網(wǎng)絡(luò)正在對(duì)烏克蘭的 IT 基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊，才將該發(fā)現(xiàn)公之于眾。許多人相信，黑客會(huì)在今年的歐冠決賽時(shí)發(fā)動(dòng)攻擊（在烏克蘭基輔舉行）。

還好，F(xiàn)BI 及時(shí)出手，通過(guò)控制那臺(tái)指揮控制服務(wù)器打掉了這個(gè)僵尸網(wǎng)絡(luò)。不過(guò)，VPNFilter 背后的勢(shì)力可不弱，它們可能與俄羅斯軍隊(duì)有染。最近，該組織又開(kāi)始新建另一個(gè)僵尸網(wǎng)絡(luò)，目標(biāo)還是感染烏克蘭的網(wǎng)絡(luò)。

下面是思科公布的最新名單，包含了被 VPNFilter 盯上的路由器和 NAS 設(shè)備。上個(gè)月思科就表示，VPNFilter 不會(huì)利用零日攻擊來(lái)感染設(shè)備，這就意味著所有有漏洞的設(shè)備只要升級(jí)到最新固件，就能逃脫惡意軟件的魔掌。

如果用戶不能升級(jí)固件，或者干脆買個(gè)新路由器，也有清除惡意軟件的方法。不過(guò)，想從受感染設(shè)備上清楚惡意軟件可不容易，畢竟它只是惡意軟件鏈上的一環(huán)，即使殺掉也能在路由器和 IoT 設(shè)備上完成持續(xù)重啟。此外，即使感染了 VPNFilter，路由器也不會(huì)出現(xiàn)什么明顯“癥狀”。因此，除非你會(huì)掃描路由器固件，要不被感染了恐怕你都不知道。所以，最好的辦法還是經(jīng)常檢查更新并及時(shí)升級(jí)最新固件吧。

華碩設(shè)備:

RT-AC66U（新增）

RT-N10（新增）

RT-N10E（新增）

RT-N10U（新增）

RT-N56U（新增）

RT-N66U（新增）

D-Link 設(shè)備:

DES-1210-08P（新增）

DIR-300（新增）

DIR-300A（新增）

DSR-250N（新增）

DSR-500N（新增）

DSR-1000（新增）

DSR-1000N（新增）

華為設(shè)備:

HG8245（新增）

Linksys 設(shè)備:

E1200

E2500

E3000（新增）

E3200（新增）

E4200（新增）

RV082（新增）

WRVS4400N

Mikrotik 設(shè)備: (升級(jí)固件 6.38.5 即可修補(bǔ)漏洞)

CCR1009（新增）

CCR1016

CCR1036

CCR1072

CRS109（新增）

CRS112（新增）

CRS125（新增）

RB411（新增）

RB450（新增）

RB750（新增）

RB911（新增）

RB921（新增）

RB941（新增）

RB951（新增）

RB952（新增）

RB960（新增）

RB962（新增）

RB1100（新增）

RB1200（新增）

RB2011（新增）

RB3011（新增）

RB Groove（新增）

RB Omnitik（新增）

STX5（新增）

Netgear 設(shè)備:

DG834（新增）

DGN1000（新增）

DGN2200

DGN3500（新增）

FVS318N（新增）

MBRN3000（新增）

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200（新增）

WNR4000（新增）

WNDR3700（新增）

WNDR4000（新增）

WNDR4300（新增）

WNDR4300-TN（新增）

UTM50（新增）

QNAP 設(shè)備:

TS251

TS439 Pro

其他運(yùn)行 QTS 軟件的 QNAP NAS 設(shè)備

TP-Link設(shè)備:

R600VPN

TL-WR741ND（新增）

TL-WR841N（新增）

Ubiquiti 設(shè)備:

NSM2（新增）

PBE M5（新增）

UPVEL 設(shè)備:

未知型號(hào)（新增）

中興設(shè)備:

ZXHN H108N（新增）

雷鋒網(wǎng) Via.Bleeping Computer

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。