雷鋒網(wǎng)消息，過去幾個月里感染了全球 54 個國家超過 50 萬臺路由器和 NAS 設(shè)備的 VPNFilter 惡意軟件恐怕還得再肆虐一段時間，它的破壞力可能比我們想象中還強。

思科 Talos 團隊今天（6 月 7 日）發(fā)布了一份最新研究報告，透露了不少有關(guān) VPNFilter 的技術(shù)細節(jié)。最初，業(yè)界普遍認為它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器，但事實上華碩、D-Link、華為、Ubiquiti、UPVEL 和中興等品牌的產(chǎn)品也難逃魔掌。

這樣一來，受到波及的設(shè)備名單也大幅擴容，從 16 款直接暴增至 71 款，這一數(shù)字未來可能還會繼續(xù)增長（文末附有完整的受影響設(shè)備名單）。

除此之外，研究人員還發(fā)現(xiàn)了 VPNFilter 的新大招，它包裝在三級插件中，是該惡意軟件三段式部署系統(tǒng)的一部分。

思科專家表示，他們發(fā)現(xiàn)了以下兩個新的三級插件。

ssler—借助中間人攻擊在端口 80 攔截和修改網(wǎng)絡(luò)流量的插件。該插件還支持將 HTTPS 降級至 HTTP。

dstr—重寫設(shè)備固件檔案的插件。思科已經(jīng)發(fā)現(xiàn) VPNFilter 能抹掉設(shè)備固件，但在最新的報告中才在三級插件中定位到該功能。

除了這兩個最新的，思科此前還發(fā)現(xiàn)了兩個插件。

ps—能嗅探網(wǎng)絡(luò)信息包并探測特定網(wǎng)絡(luò)流量的插件。思科相信，這款插件是用來尋找 Modbus TCP/IP 信息包的，一般為工業(yè)軟件和 SCADA 設(shè)備（監(jiān)測控制和數(shù)據(jù)采集）所用。不過，最近的跡象顯示，該插件還能搜尋連接在 TP-Link R600 虛擬專用網(wǎng)絡(luò)上的工業(yè)設(shè)備。

tor—VPNFilter 機器人會利用該插件通過 tor 網(wǎng)絡(luò)與指揮控制服務器通信。

關(guān)于 VPNFilter 的技術(shù)細節(jié)其實已經(jīng)寫入思科的第一份報告了，最新的插件則放在了今天發(fā)布的報告中。

雷鋒網(wǎng)了解到，其實此前研究人員就發(fā)現(xiàn) VPNFilter 的僵尸網(wǎng)絡(luò)感染了全世界的設(shè)備，但當他們發(fā)現(xiàn)該網(wǎng)絡(luò)正在對烏克蘭的 IT 基礎(chǔ)設(shè)施發(fā)動攻擊，才將該發(fā)現(xiàn)公之于眾。許多人相信，黑客會在今年的歐冠決賽時發(fā)動攻擊（在烏克蘭基輔舉行）。

還好，F(xiàn)BI 及時出手，通過控制那臺指揮控制服務器打掉了這個僵尸網(wǎng)絡(luò)。不過，VPNFilter 背后的勢力可不弱，它們可能與俄羅斯軍隊有染。最近，該組織又開始新建另一個僵尸網(wǎng)絡(luò)，目標還是感染烏克蘭的網(wǎng)絡(luò)。

下面是思科公布的最新名單，包含了被 VPNFilter 盯上的路由器和 NAS 設(shè)備。上個月思科就表示，VPNFilter 不會利用零日攻擊來感染設(shè)備，這就意味著所有有漏洞的設(shè)備只要升級到最新固件，就能逃脫惡意軟件的魔掌。

如果用戶不能升級固件，或者干脆買個新路由器，也有清除惡意軟件的方法。不過，想從受感染設(shè)備上清楚惡意軟件可不容易，畢竟它只是惡意軟件鏈上的一環(huán)，即使殺掉也能在路由器和 IoT 設(shè)備上完成持續(xù)重啟。此外，即使感染了 VPNFilter，路由器也不會出現(xiàn)什么明顯“癥狀”。因此，除非你會掃描路由器固件，要不被感染了恐怕你都不知道。所以，最好的辦法還是經(jīng)常檢查更新并及時升級最新固件吧。

華碩設(shè)備:

RT-AC66U（新增）

RT-N10（新增）

RT-N10E（新增）

RT-N10U（新增）

RT-N56U（新增）

RT-N66U（新增）

D-Link 設(shè)備:

DES-1210-08P（新增）

DIR-300（新增）

DIR-300A（新增）

DSR-250N（新增）

DSR-500N（新增）

DSR-1000（新增）

DSR-1000N（新增）

華為設(shè)備:

HG8245（新增）

Linksys 設(shè)備:

E1200

E2500

E3000（新增）

E3200（新增）

E4200（新增）

RV082（新增）

WRVS4400N

Mikrotik 設(shè)備: (升級固件 6.38.5 即可修補漏洞)

CCR1009（新增）

CCR1016

CCR1036

CCR1072

CRS109（新增）

CRS112（新增）

CRS125（新增）

RB411（新增）

RB450（新增）

RB750（新增）

RB911（新增）

RB921（新增）

RB941（新增）

RB951（新增）

RB952（新增）

RB960（新增）

RB962（新增）

RB1100（新增）

RB1200（新增）

RB2011（新增）

RB3011（新增）

RB Groove（新增）

RB Omnitik（新增）

STX5（新增）

Netgear 設(shè)備:

DG834（新增）

DGN1000（新增）

DGN2200

DGN3500（新增）

FVS318N（新增）

MBRN3000（新增）

R6400

R7000

R8000

WNR1000

WNR2000

WNR2200（新增）

WNR4000（新增）

WNDR3700（新增）

WNDR4000（新增）

WNDR4300（新增）

WNDR4300-TN（新增）

UTM50（新增）

QNAP 設(shè)備:

TS251

TS439 Pro

其他運行 QTS 軟件的 QNAP NAS 設(shè)備

TP-Link設(shè)備:

R600VPN

TL-WR741ND（新增）

TL-WR841N（新增）

Ubiquiti 設(shè)備:

NSM2（新增）

PBE M5（新增）

UPVEL 設(shè)備:

未知型號（新增）

中興設(shè)備:

ZXHN H108N（新增）

雷鋒網(wǎng) Via.Bleeping Computer

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。