VPNFilter灾情超乎预期，华硕、D-Link、华为与中兴装置都遭殃 Talos指出VPNFilter感染的连网装置超出预期，涵盖了华硕、D-Link、华为、Ubiquiti、UPVEL与中兴等等，搭配的恶意模组功能也不容小看，可将HTTPS加密传输降为HTTP，可抹减踪迹与装置运作的必要档案。 文/陈晓莉 | 2018-06-07发表 思科（Cisco）旗下的威胁情报组织Talos上个月揭露了相信是由俄罗斯骇客集团Fancy Bear主导的VPNFilter攻击行动，该行动感染了全球54个国家的50万台网路装置，经过进一步分析後，Talos本周指出，VPNFilter的能力超乎当初的想像，不论是感染范围或是恶意模组的能力都更形严重。 根据Talos上个月的初步分析，VPNFilter锁定感染Linksys、MikroTik、NETGEAR与TP-Link等品牌的路由器，以及QNAP网路储存装置，也对基於Modbus SCADA协定的工业控制系统特别有兴趣，它能监控装置流量、窃取网站凭证，亦可切断装置的连网能力或让装置无法使用，还能长久进驻受骇装置，无法藉由简单的重开机移除它，而是得回复装置出厂配置。 然而，本周Talos发现太小看VPNFilter的能力了，它的感染范围不仅限於上述，还包括ASUS、D-Link、华为、Ubiquiti、UPVEL与中兴等装置；所搭配的恶意模组ssller亦能把HTTPS加密传输降级为HTTP传输，dstr模组则能移除VPNFilter的踪迹与装置运作的必要档案。 分析显示，ssller模组能够拦截该装置上所有藉由port 80递送的流量，可窃取资料并注入JavaScript，以用来攻陷同一网路所连结的其它装置，亦试图将HTTPS传输降级至HTTP。 至於dstr模组则会移除装置正常运作所需的档案，以造成被骇装置失效，在移除装置上的档案之前，它会先抹灭VPNFilter行动的踪迹。 Talos警告，这些能力意味着假使骇客成功地入侵这些终端装置，即可於该环境中部署任何的恶意功能，像是rootkit、窃取资料或毁灭装置。 https://www.ithome.com.tw/news/123708 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.160.179.37 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1528354319.A.69C.html