原po内容大多来自Cisco的第一份分析
这是Cisco的第二份分析,里面有追加机种
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html?m=1
以及SOPHOS的分析
https://news.sophos.com/en-us/2018/05/27/vpnfilter-botnet-a-sophoslabs-analysis-part-2/
大略看了一下
1. 一堆迂回方法到一些网址更新
2. 即使所有网址都被封了,也会设定排程,在某时间偷偷开后门,等著被扫描然后更新
3. 偷塞凭证监听https加密
4. 拥有自杀指令
5. 能读取MTD目前没作用,但这表示可以自我刷机或把路由器清零挂了它
6. 还没人找到它到底是怎么感染的
7. Cisco的名单中有ac66u,Asus大多主流机种韧体都是跟这同模型,所以…
8. SOPHOS的第一个样本来自于台湾XD,台湾是第一梯队XD
9. 由于排程会写进nvram,所以更新韧体后要清除nvram回复出厂设定才能保证干净