秒速赛车新闻中心

秒速赛车平台:思科Talos:新型 VP

  全球至少50万台小型办公和家庭办公环境中的网络设备将受到影响

  (思科Talos 团队由业界领先的网络安全专家组成,他们分析评估黑客活动、入侵企图、恶意软件以及漏洞的最新趋势。包括 ClamAV 团队和一些标准的安全工具书的作者中最知名的安全专家,都是思科Talos 的成员。这个团队同时得到了 Snort、ClamAV、和社区的庞大资源支持,使得它成为网络安全行业最大的安全研究团队,也为思科的安全研究和安全产品服务提供了强大的后盾支持)

  数月以来,思科Talos 一直与公、私部门的威胁情报合作伙伴以及执法机构合作,研究可能由国家支持或国属高级分子对我们称为“VPNFilter”的复杂模块化恶意软件系统的广泛使用。我们尚未完成研究,但近期活动使我们深信,正确的前进方向是即时分享调查结果,以便受影响方可采取适当行动保护自己。特别是,该恶意软件代码与 BlackEnergy 恶意软件代码重叠,而后者是针对乌克兰设备的多起大规模攻击的罪魁祸首。虽然这尚未最终定论,但我们还观察到,具有潜在破坏性的恶意软件 VPNFilter 正在利用专用于乌克兰的命令和控制 (C2) 基础设施,以惊人的速度感染该国主机。综合考量这些因素,我们认为最好在完成研究前发布目前取得的调查结果。尽早发布意味着我们尚未获得所有答案 - 我们甚至尚未发现所有问题 - 所以这篇博客代表我们到目前为止的调查结果,在继续调查的过程我们将随时更新。

  此次攻击行动的规模和能力之大令人担忧。我们携手合作伙伴,估计至少有 54 个国家/地区的最少 50 万台设备受到感染。受 VPNFilter 影响的已知设备包括小型办公和家庭办公 (SOHO) 环境中的 Linksys、MikroTik、NETGEAR 和 TP-Link 网络设备以及 QNAP 网络附加存储 (NAS) 设备。据观察,尚无其他供应商(包括思科)受到 VPNFilter 感染,但我们将继续调查。这种恶意软件在网络设备上的行为尤为令人不安,因为通过 VPNFilter 恶意软件组件能够窃取网站凭证和监控 Modbus SCADA 协议。最后,该恶意软件具有破坏性,可能导致受感染设备无法使用,秒速赛车平台:思科Talos:新型 VPNFilter 恶意软件影响网络设备这可以在个别受害者计算机上触发或集体触发,并可能切断全球成千上万台受害者计算机的互联网接入。

  这种威胁发起者所针对的设备类型很难保护。这些设备通常位于网络外围,不具备适当的入侵防御系统 (IPS),且通常无可用的基于主机的保护系统,如防病毒 (AV) 软件包。我们不确定在任何特定情况下使用的特定漏洞,但大多数目标设备(尤其旧版本)具有能使攻击长驱直入的已知公开漏洞或默认凭证。所有这些都促成了这种威胁至少自 2016 年以来的悄然增长。

  这篇文章为您呈现 思科Talos 中的常规技术发现。此外,我们将利用我们的调查结果和分析师背景,详细介绍这一威胁背后的间谍情报技术,以讨论威胁发起者的可能思维过程和决策。我们还将讨论如何防御这种威胁以及如何处理可能受感染的设备。最后,我们将分享目前为止所观察到的危害表现 (IOC),但我们坚信还存在更多未知。

  VPNFilter 恶意软件是一个多阶段的模块化平台,具有多种功能,可支持情报收集和破坏性的网络攻击操作。

  第 1 阶段恶意软件会在计算机重启后继续存在,这与大多数其他针对物联网设备的恶意软件不同,因为恶意软件通常无法在设备重新启动后存续。第 1 阶段的主要目的是获取持久据点,以能够部署第 2 阶段恶意软件。第 1 阶段利用多个冗余命令和控制 (C2) 机制发现当前第 2 阶段部署服务器的 IP 地址,使得这种恶意软件极其强大并能够处理不可预测的 C2 基础设施变化。

  第 2 阶段恶意软件(通过不会在重启后存续)拥有主力情报收集平台中的常见功能,例如文件收集、命令执行、数据泄露和设备管理。但是,第 2 阶段的某些版本还具有自毁功能,可覆盖设备固件的关键部分并重新启动设备,使设备无法使用。基于威胁发起者表现出的对这些设备的了解,以及第 2 阶段版本中的现有功能,我们非常肯定地评估威胁发起者可能将这种自毁指令部署至其控制的大多数设备,而不管命令是否内置于第 2 阶段恶意软件中。

  此外,还存在多个用作第 2 阶段恶意软件插件的第 3 阶段模块。这些插件为第 2 阶段提供附加功能。在撰写本文。

Copyright © 2014-2018 秒速赛车技巧集团 版权所有 粤ICP备15446821-1|网站地图

在线客服

关闭

客户服务热线
400-1234-567


点击这里给我发消息 客服一

点击这里给我发消息 客服二



扫描二维码