作者 Paul Ducklin
感謝 Cisco 的威脅情報組織 Talos 和網路威脅情報聯盟 (Cyber Threat Alliance) 為 SophosLabs 的研究人員提供有關此惡意軟體的樣本和資訊。
5 月 23 日,Cisco 旗下威脅情報組織 Talos 的研究人員發表了一份報告,揭露一個名為 VPNFilter 的巨型物聯網殭屍網路。
該報告指出,全球有超過 50 萬台裝置感染了這個惡意軟體 – 其中大多數是來自不同廠商的多款消費者級路由器,同時也有一些消費者NAS (網路附加儲存) 裝置遭受影響。
說明
物聯網 (IoT)是 internet of things 的縮寫,指的是我們生活中所有透過網際網路連線的裝置,它們夠小、夠便宜並且能夠天天使用,讓我們忘記它們真的只是微型電腦,就像我們的筆記本電腦和手機一樣。
因此,物聯網裝置在設計、出廠或甚至是安裝後,通常其網路安全很少或是不會受到注意。
殭屍網路 (botnet)指的是robot network,也被稱為zombie network。
這就是罪犯為什麼要在數千甚至數十萬台電腦上同時植入惡意軟體的原因。如此一來,他們就可以逐一或者同時間偷偷地向每台受駭電腦發送程式化的命令。
殭屍程式如何運作
通常,殭屍網路中的每個殭屍程式(bot)都是透過某種網路請求,向由罪犯操控的一或多台伺服器回傳連線。
在回傳連線時,每台殭屍電腦都會獲得下一步動作的指示,例如「這裡有一個可以安裝並新增攻擊手法的新軟體模組」等指令。
換句話說,殭屍網路不僅能夠對全球進行大規模的同步攻擊,還可以自行調整和自我更新,以納入罪犯日後想要新增的惡意軟體功能。
在某些情況下 (這個最新發布的 VPNFilter 惡意軟體就是一例),殭屍程式內含一個特殊命令,用來實作您可能稱為“快跑!警察來了!”的策略。這類惡意軟體會故意殺死自己,有時是毀掉運作著它的裝置。
VPNFilter 不僅內含 kill 命令,而且根據 Cisco 的說法,kill 命令會刻意覆寫裝置的快閃記憶體。
在快閃記憶體被抹除後,家用路由器有時根本無法使用,因為恢復裝置所需的啟動軟體就儲存在本身的快閃記憶體中 (至少在沒有將特殊連接器焊接到主機板上或進行某種精細的內部硬體修改以前)。
這種狀態下的裝置被認為是一塊磚(bricked),意味著這個裝置現在和磚塊一樣有用:您可以用它來當門擋,但最多就是這樣了。
SophosLabs 檢查了這個惡意軟體,發現 kill 命令會立即關閉殭屍程式,但並未試圖抹除裝置。抹除快閃記憶體的程式碼出現在已經編譯的惡意程式碼中,但尚未被使用。您可以在 Sophos 新聞網站上閱讀完整的 SophosLabs VPNFilter 殭屍網路分析。
VPNFilter 惡意軟體中還內含一個自動更新元件,可隨時依需要更新功能。目前發現的附加惡意軟體模組之一是所謂的封包偵測器(packet sniffer)。
偵測器會竊聽作業系統內部的網路軟體,以便監控網路封包,尋找任何未加密網路流量中感興趣的資料。
VPNFilter 會尋找各種資料模式,包括與已知漏洞相關的網頁請求、對密碼為留空的密碼保護網頁的登錄請求,以及可能包含使用者名稱和密碼的未加密網頁流量。
如何因應?
物聯網裝置 (如路由器) 的問題在於,在設計上它們會直接連上網際網路。
對於許多家庭使用者來說,它們是網際網路數據機 (一端插入電話線)、路由器 (另一端插入區域網路)、防火牆和無線存取點的綜合體。
不過,事實上許多路由器是一個「封閉的產品」,就像一台 iPhone:您沒有辦法存取檔案、修改軟體、進行自己想要的調整,或是應用自己開發的更新或改進功能。
一些 ISP 堅持只能使用他們的路由器來存取他們的服務,所以您甚至不能更換他們提供的路由器機型而使用自己的選擇。
儘管如此,無論您在家中或企業中使用的是哪一種路由器,都需要進行路由器健康檢查。
不要拖延,馬上動手做!
- 請洽詢您的廠商或 ISP,了解如何對路由器執行韌體更新。許多路由器會不定期收到安全更新,但通常不會自行下載或自動安裝。通常您需要登入到管理主控台,並點按某些[立即檢查]按鈕。如果您居住在有夏令時區的國家/地區,不如每次時間改動時間都順度一併更新所有的物聯網裝置?罪犯經常掃瞄網際網路,尋找他們知道如何入侵的而尚未更新安全漏洞的路由器。不要方便罪犯植入惡意軟體:盡早修補、經常修補!
- 關閉遠程管理,除非您確實需要這個功能。許多路由器允許您從網路網路和裝置的區域網路存取管理介面。有些機型甚至是出廠時就內建了這項功能。罪犯經常掃描網際網路來尋找登入畫面,由於使用者應該看不到這些登入畫面,因此不太可能獲得妥善的保護。不要讓罪犯很容易地就找到您的裝置並開始猜測密碼。
- 選擇適當的密碼。許多路由器都內建預設的系統管理員密碼,有些路由器在您第一次設定密碼時不會強制您選擇新密碼。罪犯擁有廣泛的網際網路裝置的預設使用者名稱和密碼列表。不要使用這些容易被猜到的密碼,讓罪犯可以輕鬆攻陷您的城堡。
- 盡量使用 HTTPS 來瀏覽網頁。一般來說,在瀏覽器中顯示鎖頭的網路連線是採用端對端加密,因此它們不可能被一台未受信任的網際網路裝置偵測到,無論在您本身的路由器遭到惡意軟體感染、網路路徑中出現不明 ISP,或者流量偶然流經被監控的國家時都是如此。
順便一提,就我們所看到的,許多家庭路由器只要執行韌體更新就能清除 VPNFilter 惡意軟體以及許多其他的路由器惡意軟體。
換句話說,即使您已經具備最新更新且不認為裝置已經遭到感染,韌體更新也會給您加倍的安心:您的路由器保持更新,而且處於運作良好的狀態。
想要在家中運作 VPN 以提高安全性,並在您的物聯網路由器內啟動和終止 VPN,以防遭到惡意軟體偵測?如果您有可用的備用電腦,為什麼不先試用 Sophos XG Firewall Home Edition?您將獲得該產品所有功能的免費授權,包括防毒、網頁篩選、電子郵件安全、入侵防禦以及功能成熟的 VPN。
(本博文為翻譯本,內容以英文原文為準)