路由器、网络设备和物联网恶意软件越来越普遍。大多数人专注于感染易受攻击的设备并将其添加到强大的僵尸网络中。路由器和物联网（IoT）设备始终通电，始终在线，并等待指示。那么，完美的僵尸网络素材。

但并非所有恶意软件都是相同的。

VPNFilter是对路由器、物联网设备甚至某些网络连接存储（NAS）设备的破坏性恶意软件威胁。如何检查VPNFilter恶意软件感染？你怎么能把它清理干净呢？让我们仔细看看VPNFLASH。

什么是vpnfilter(vpnfilter)？

VPNFilter是一种复杂的模块化恶意软件变体，主要针对来自众多**商的网络设备以及NAS设备。VPNFilter最初在Linksys、MikroTik、NETGEAR和TP Link网络设备以及QNAP NAS设备上发现，在54个国家约有500000例感染。

发现VPNFilter的团队Cisco Talos最近更新了有关该恶意软件的详细信息，表明来自华硕、D-Link、华为、泛素、UPVEL和中兴通讯等**商的网络设备现在显示出VPNFilter感染。然而，在撰写本文时，没有任何Cisco网络设备受到影响。

该恶意软件与大多数其他以物联网为中心的恶意软件不同，因为它在系统重新启动后仍然存在，难以根除。使用默认登录凭据或具有已知零日漏洞且未收到固件更新的设备尤其容易受到攻击。

vpnfilter做什么？

因此，VPNFilter是一个“多阶段、模块化平台”，可对设备造成破坏性损坏。此外，它还可能成为数据收集的威胁。VPNFilter分几个阶段工作。

第1阶段：VPNFilter第1阶段在设备上建立滩头阵地，联系其命令和控制服务器（C&amp；C） 下载其他模块并等待说明。第1阶段还具有多个内置冗余，用于定位第2阶段C&amp；Cs，以防部署期间基础架构发生变化。第1阶段VPNFilter恶意软件也能够在重新启动后存活，使其成为强大的威胁。

第2阶段：VPNFilter第2阶段不会在重新启动后持续存在，但它具有更广泛的功能。阶段2可以收集私有数据、执行命令并干扰设备管理。此外，在野外也有不同版本的Stage 2。某些版本配备了破坏性模块，该模块覆盖设备固件的分区，然后重新启动以使设备不可用（恶意软件基本上会阻塞路由器、物联网或NAS设备）。

第3阶段：VPNFilter第3阶段模块与第2阶段的插件一样工作，扩展了VPNFilter的功能。一个模块充当数据包嗅探器，收集设备上的传入流量并窃取凭据。另一个允许Stage 2恶意软件使用Tor进行安全通信。Cisco Talos还发现了一个模块，该模块将恶意内容注入通过该设备的流量，这意味着黑客可以通过路由器、物联网或NAS设备向其他连接的设备发送进一步的攻击。

此外，VPNFilter模块“允许盗取网站凭证和监控Modbus SCADA协议。”

照片共享元

VPNFilter恶意软件的另一个有趣（但不是新发现的）功能是它使用在线照片共享服务查找其C&C服务器的IP地址。Talos分析发现恶意软件指向一系列Photobucket URL。恶意软件下载URL引用的库中的第一个图像，并提取隐藏在图像元数据中的服务器IP地址。

IP地址“是从EXIF信息中的GPS纬度和经度的六个整数值中提取的。”如果失败，则第1阶段恶意软件会返回到常规域（toknowall.com--下面有详细介绍）下载图像并尝试相同的过程。

目标包嗅探

更新后的Talos报告揭示了对VPNFilter数据包嗅探模块的一些有趣见解。它有一套相当严格的规则，针对特定类型的流量，而不仅仅是胡闹。具体而言，来自工业控制系统（SCADA）的流量（使用TP Link R600 VPN连接）、到预定义IP地址列表的连接（表示对其他网络和理想流量的高级了解）以及150字节或更大的数据包。

Craig William是Talos的高级技术领导者和全球拓展经理，他告诉Ars，“他们正在寻找非常具体的东西。他们没有尽可能多地**交通。他们追求一些非常小的东西，比如凭证和密码。我们在这方面没有太多的情报，除了它看起来非常有针对性和非常复杂。我们仍在试图弄清楚他们用的是谁。”

vpnfilter从哪里来？

VPNFilter被认为是一个国家资助的黑客组织的作品。最初的VPNFilter感染激增主要是在乌克兰各地感受到的，最初的手指指向俄罗斯支持的指纹和黑客组织Fancy Bear。

然而，这就是恶意软件的复杂程度，没有明确的起源，也没有任何黑客组织，无论是民族国家还是其他国家，站出来声称拥有该恶意软件。鉴于详细的恶意软件规则以及SCADA和其他工业系统协议的目标，一个民族国家的参与者似乎最有可能。

不管我怎么想，FBI相信VPNFilter是一种奇特的熊制品。2018年5月，美国联邦调查局查获了一个域名——ToKnowAll.com，该域名被认为用于安装和指挥Stage 2和Stage 3 VPNFilter恶意软件。区域性发作当然有助于阻止VPNFilter的立即扩散，但没有切断主干；乌克兰SBU于2018年7月击落了一家化学加工厂的VPNFilter攻击。

VPNFilter还与BlackEnergy恶意软件有相似之处，后者是一种针对多种乌克兰目标的APT特洛伊木马。同样，尽管这远不是完全的证据，但对乌克兰的系统性攻击主要来自与俄罗斯有联系的黑客组织。

我感染了vpnfilter吗？

很有可能，您的路由器中没有VPNFilter恶意软件。但安全总比后悔好：

1. 检查路由器的列表。如果你不在名单上，一切都好。
2. 您可以前往Symantec VPNFilter检查站点。检查条款和条件框，然后点击中间的运行VPNFFEW检查按钮。测试在几秒钟内完成。

我感染了vpnfilter：我该怎么办？

如果Symantec VPNFilter检查确认您的路由器已感染，则您有明确的行动方案。

1. 重置路由器，然后再次运行VPNFilter检查。
2. 将路由器重置为出厂设置。
3. 下载路由器的最新固件，并完成干净的固件安装，最好在安装过程中不让路由器在线连接。

此外，您需要在连接到受感染路由器的每个设备上完成完整的系统扫描。

如果可能的话，您应该始终更改路由器以及任何IoT或NAS设备的默认登录凭据（IoT设备不会使此任务变得容易）。此外，尽管有证据表明VPNFilter可以避开某些防火墙，但安装并正确配置一个防火墙将有助于防止网络中出现其他许多令人讨厌的东西。

小心路由器恶意软件！

路由器恶意软件越来越普遍。物联网恶意软件和漏洞无处不在，随着大量设备上线，情况只会变得更糟。您的路由器是您家中数据的焦点。然而，它并没有像其他设备那样受到如此多的安全关注。

简单地说，你的路由器并不像你想象的那样安全。

Subscribe to our newsletter

Join our newsletter for tech tips, reviews, free ebooks, and exclusive deals!

Click here to subscribe