[情报] 全球有50万以上路由器被僵尸网络绑架,FB

楼主: EijiHoba (我要好工作)   2018-06-14 09:54:22
全球有50万以上路由器被僵尸网络绑架,FBI呼吁网友请立即重启家中路由器
janus 发表于 2018年5月28日 15:00
Cisco以及赛门铁克于前两天都发出了安全预警,表示一个极为复杂的恶意软件VPNFilter,目前已经感染了全球54个国家,超过50万台以上的路由器都被感染,并且已经建立了庞大的僵尸网络。而受到影响的路由器厂商,包括:Linksys,MikroTik,Netgear 和 TP-Link 等知名大厂。
VPNFilter 是一个多模组化的平台,针对Iot物联网所设计的新形态恶意软件。他主要是利用目前已知的所有漏洞来攻击路由器,由于他的手法相当复杂,具有多种功能,可以对目标同时进行情报收集和破坏性网络攻击操作,而且还可以删除、破换韧体,让受影响的装置瘫痪。
已知被感染的网络装置厂牌以及型号如下:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
Mikrotik RouterOS for Cloud Core Routers: Versions 1016, 1036, and 1072
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
TP-Link R600VPN
VPNFilter 最早从2016年开始,透过感染物联网装置而建构的僵尸网络,但是期间多半都处于潜伏期,最近几个月该软件才开始大规模的扫描且攻击装置,而这个僵尸网络目前重点指向乌克兰,控制了乌克兰境内的路由器以及Iot装置。
由于VPNFilter 的特征与先前用来攻击乌克兰电网的特征类似,因此安全专家认为这个恶意软件可能与俄罗斯骇客有关。而有鉴于现在这个僵尸网络的活跃,安全专家也认为骇客的目标应该锁定乌克兰近期的大型活动或是节日。
而FBI从去年八月以来就已经介入调查VPNFilter ,并且透过分析已知被控制的路由器,长时间观察该僵尸网络。而FBI也发现这个恶意软件的关键弱点,那就是只要重启被感染的路由器,恶意软件大多数透过被感染后下载的而中标的问题都可以解决,只会留下恶意软件的核心程式。
虽然这样问题还没解决,但是FBI同时也发现恶意程式感染受害装置之后,第一个步骤是透过指向 ToKnowAll.com这个网域下载所有的恶意工具,而FBI则透过法院的申请,取得了这个域名的拥有权。因此,就等于直接地废掉了这个恶意程式的功力。
因此,受到感染的路由器,只要重启装置之后,虽然依然移除不掉恶意程式的核心档案,但是实际上已经没有作用,因此可以视同为安全的。
https://www.techbang.com/posts/58638-fbi
作者: XperiaZ (XperiaZ)   2018-06-14 10:06:00
我大石头没事吗
作者: C13H16ClNO (3955 老地方见)   2018-06-14 13:05:00
估计韧体都久久没更新的
作者: Windcws9Z (闻肉丝就饿)   2018-06-14 13:33:00
乌克兰?!大概又是俄罗斯搞的鬼番茄红了,医生的脸就绿了
作者: richjf (jeff)   2018-06-14 16:11:00
大石头网络设备资安被美帝监管中,应该是安全点?
作者: ssd860505da (JAGER)   2018-06-14 16:59:00
大石头是什么?
作者: KOKOLALAMA   2018-06-14 17:21:00
华硕品质,坚若盘石?
作者: Bob9154 (β)   2018-06-14 19:15:00
我有R6400 不过跑梅林XD
作者: wbc319 (哈利)   2018-06-14 20:40:00
R7000 跑番茄...哈哈
作者: trtxty01 (trtxty)   2018-06-14 22:20:00
情报旧了,目前是关了网域没用,感染机种超出预想,各厂都中包含华硕,还没人找出感染原因
作者: Windcws9Z (闻肉丝就饿)   2018-06-14 22:28:00
其实这篇文OP惹
作者: KOKOLALAMA   2018-06-15 00:39:00
有说非官方韧体免疫吗?不然怎么都强调番茄跟梅林?
作者: Bob9154 (β)   2018-06-15 01:13:00
刷韧体就免疫了 不然一样硬件的路由器各家都有
作者: wbc319 (哈利)   2018-06-15 01:15:00
一定是针对韧体下手,当然一定是从官方韧体开始因为一般家用不会特别刷韧体只有玩家等级的会去刷...所以基本上刷韧体可以免掉很多
作者: aahome (少说话)   2018-06-15 07:23:00
结果非官方的也中标没讲而已
作者: Bob9154 (β)   2018-06-15 07:38:00
梅林基底是ASUS 番茄那些才是整个重写的
作者: KOKOLALAMA   2018-06-15 14:40:00
那重刷韧体可以清除?还是中了就残存在机子里一辈子了?
作者: waterblue85 (waterblue)   2018-06-15 16:58:00
asus基地也是tomato啊XDD 都是同根生重刷韧体好像可以清除的样子 用救援模式刷吧
作者: ssd860505da (JAGER)   2018-06-16 02:39:00
用N18U会被感染ㄇ? owwwo如果只用小乌龟还会被感染吗?
作者: Bob9154 (β)   2018-06-16 03:56:00
噢... 那看来要OpenWRT才是不同基底了
作者: Windcws9Z (闻肉丝就饿)   2018-06-16 11:58:00
华硕原厂韧体是怀疑有抄Tomato因为后来稳定性大增但实际上有没有抄没人知道因为韧体没有开源重刷韧体就可以解但是漏洞没有修正还是一样会中
作者: waterblue85 (waterblue)   2018-06-16 13:41:00
梅林github介绍就说了asuswrt从tomato修改而来
作者: Windcws9Z (闻肉丝就饿)   2018-06-16 14:57:00
原来如此 因为我看第三方韧体的社群目前没有人回报有中奖当然没有人回到不代表不会中奖*回报
作者: ssd860505da (JAGER)   2018-06-16 22:30:00
中奖会有什么征召ㄇ?
作者: c0800805 (暂时没有)   2018-06-22 06:37:00
有解吗?

Links booklink

Contact Us: admin [ a t ] ucptt.com