最新消息:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

SEEBUG IMGIT 6浏览 0评论

作者:啟明星辰ADLab

一、威脅概述

近期,思科Talos團隊因情況緊急提前公開了一項未完成的研究,該研究提及了一個可能對全球網絡產生重大危害的高級威脅攻擊(大約有50萬台設備受到感染),由於其核心模塊文件為VPNFilter,故該惡意代碼也被命名為」VPNFilter」。該攻擊是一起以入侵物聯網為載體從事可能由國家發起的全球性的高級惡意軟件攻擊,惡意軟件通過三個階段來部署其攻擊武器,目前已經有至少50萬台設備受到感染。攻擊者利用該惡意軟件來控制並監視處於工控網絡、辦公環境中的網絡設備(包含路由器、網關、防火牆以及其他的物聯網設備),其支持工控網絡情報收集、重要敏感的流量(登錄憑證)截取、流量篡改、定向JS注入、設備破壞性攻擊等功能。

惡意軟件在5月8日出現大規模的以烏克蘭為主要目標的攻擊活動,並且在5月17日烏克蘭的受感染設備出現大幅度增加,這些受感染設備均受控於C&C 46.151.209.33, 看起來此次攻擊目標似乎瞄準烏克蘭。烏克蘭電力系統曾經受到過兩次黑客攻擊,並且導致了停電事故,兩次攻擊均以持久而隱秘的滲透手段入侵到目標。而這次的攻擊活動以物聯網入口,利用大量存在漏洞的物聯網設備作為載體進行撒網式攻擊,並且以驚人的速度感染了至少50萬台設備,其中包含有華為、中興、華碩、Dlink、Ubiquiti、UPVEL、Linksys、MikroTik、NETGEAR 和 TP-Link等設備。同樣,此次惡意代碼與2015年攻擊烏克蘭電網的BlackEnergy使用相同的變形RC4算法對關鍵信息進行加密;並且與之類似的是同樣也有對主機設備進行重要數據擦除與重啟的連環動作以達到讓設備無法啟動的目的(同時也提高了取證的難度)。

啟明星辰ADLab發現該預警后對該惡意軟件進行了深入的分析,以剖析其實現機制。我們發現該惡意軟件中除了採用圖片文件的EXIF數據傳輸用於下載惡意代碼核心組件的C&C外,還採用HTTP頭中的location和direct字段傳輸該C&C,甚至採用了一種我們稱之為」SYN隧道技術」的高級隱藏技術來實現惡意軟件C&C的被動更新,即使如之前所報道那樣,FBI阻斷了該惡意軟件的C&C,該技術也可以讓該惡意軟件快速復活。其中第三階段惡意組件專門針對TCP協議進行嗅探處理,不僅對工控modbus SCADA協議進行情報收集,同時還會嗅探基於http協議的登錄憑證信息和Authorization信息。該嗅探模塊需要黑客遠程指定modbus服務器進行精確的監控,以發現所有連接的從機設備。此外,在最近公開的攻擊插件模塊中還可以看出,該次攻擊可用於廣泛的情報收集以及對特定目標進行滲透攻擊,其中包含對80端口的流量重定向、強制轉換HTTPS為HTTP以方便流量監控、竊取HTTP請求包中的登錄憑證信息、向指定網站的響應數據中注入惡意javascript腳本等等。

二、惡意軟件工作原理

該惡意軟件通過利用路由器、網關、防火牆等物聯網設備漏洞進行廣泛的感染和傳播。在感染設備中,其首先啟動一個Loader模塊執行,該模塊主要實現了VPNFilter組件的下載與執行。Loader模塊並不是直接通過指定的下載地址來下載VPNFilter組件,而是通過多種技術手段來獲取VPNFilter的下載地址(存儲點)。其首先會向服務器photobucket.com發送請求並嘗試解析響應數據中的Locaion、direct、圖片EXIF信息來獲取;如果失敗則向服務器taknowall.com發送請求並解析圖片的EXIF來獲取;如果仍然無法獲取到C&C,則會採用」SYN隧道技術」來獲取C&C實現下一個階段組件的下載地址。此外,VPN存儲點獲取成功后,Loader通過內置SSL證書文件來驗證下載VPNFilter組件。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

VPNFilter組件最後會被下載到」/var/run/」目錄下,是該類惡意攻擊的核心組件,通過該組件,惡意軟件得以駐留在被感染系統中。VPNFilter組件為攻擊者提供了一個用於維護殭屍網絡的框架,攻擊者可以基於不同的攻擊目的加載不同的插件和執行不同遠控控制命令。目前所發現的插件模塊有:一個用於支持連接到Tor網絡的Tor 客戶端(Tor Client,文件tor);一個為嗅探登錄憑證和Modbus工控協議信息的TCP流量嗅探模塊(TCP Traffic Sniffer,文件ps);一個專門為HTTP 80端口進行流量監控、截取、篡改、注入的HTTP 流量監控模塊(HTTP Traffic Controllor,文件ssler);以及可用於破壞設備使其無法重啟、無法取證的設備破壞模塊(Destroy Module,文件dstr),此外其還存在其他的模塊如:mikrotik.o、torrc、ip_tables.ko、iptable_filter.ko、iptable_nat.ko。

三、惡意軟件剖析

根據該惡意軟件執行攻擊的步驟,可以將其劃分為三個階段,其中Loader文件為第一個階段的惡意模塊,VPNFilter文件為第二階段的惡意模塊,Tor客戶端和流量嗅探器為第三階段的惡意模塊。以下分別對這三個階段的惡意代碼進行深入的剖析。

第一階段:感染設備並下載惡意代碼主體執行

第一個階段的樣本可以看作是一個Loader(文件名為msvf),攻擊者利用設備漏洞將其落地到設備內存中運行。該Loader主要目的是從C&C服務器上下載第二階段的惡意組件執行。該Loader不同於以往的物聯網惡意代碼那樣將C&C內置於代碼內,而是通過在合法圖片網站上下載一張隱藏有C&C地址的圖片進行解析,從而得到真實的C&C。而惡意代碼為了防止流量追蹤,採用socks5代理、Tor、以及ssl的方式進行該圖片的下載。如果圖片下載失敗,也會採用極其隱蔽的原始流量數據嗅探的方式來獲取C&C。

同時該模塊還試圖修改NVRAM並將自身加入定時任務文件」crontab」中,以達到常駐的目的。一般物聯網惡意代碼如mirai等沒有涉及常駐機制,使得其在設備重啟後會消失。

1.兩次創建子進程並且啟用惡意代碼對當前用戶組的讀寫執行權限

第一階段樣本執行后,會fork兩次,第一次用於清理進程資源啟用讀寫執行權限。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

第二次fork會在子進程中確認進程文件是否存在,如果不存在會進行文件的回寫,防止進行文件丟失。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

此外在第二次fork的子進程中,惡意代碼為了防止自身文件在設備重啟后消失,還會將自身文件加入到crontab文件末尾,以實現開啟啟動、常駐設備的目的。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

2.解密證書文件名、圖片鏈接數據等內容

接下來惡意代碼會通過變形的RC4算法來解密後續要用到的字符串和數據,變形RC4秘鑰為「%^:d」,最新版本已經更新為「g&*kdj$dg0_@@7』x」

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

變形RC4的stable數據如下:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

最後解密得到如下信息,其中包含證書文件名、版本號、build信息、圖片url等。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

解密url:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

3.創建ssl證書文件以及惡意代碼版本文件

解密完成後,惡意代碼會將代碼中內嵌的公鑰、私鑰數據存儲在證書文件中。該惡意代碼中存放有三個證書數據,其中兩個公鑰和一個私鑰,公鑰存儲在文件「/var/run/client_ca.crt」「/var/run/client.crt」中,私鑰存儲在文件「/var/run/client.key」中。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

此外,版本信息0.3.9qa會被寫入到文件/var/run/msvf.pid中。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

4.下載第二階段組件

第二階段的惡意代碼下載地址採用三種方式獲取。首先嘗試從photobucket網站請求C&C,具體按照如下鏈接順序去下載並提取第二階段惡意代碼的服務器地址。

http://photobucket.com/user/nikkireed11/library
http://photobucket.com/user/kmila302/library
http://photobucket.com/user/lisabraun87/library
http://photobucket.com/user/katyperry45/library

雖然當前這些鏈接已經失效,但是通過逆向可以看出,如果請求響應碼為302,惡意代碼則會從響應數據中的」Location」/」location」參數中提取出第二階段惡意代碼的下載地址。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

如果惡意代碼請求的響應碼為200,則會從請求的響應數據包的HTTP頭部中提取」direct」參數的值,作為第二階段惡意代碼下載地址。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

如果不存在該值,則會從圖片文件中的EXIF域提取經緯度數據並將其轉換為第二階段惡意代碼下載的IP地址。下載的圖片文件EXIF部分數據類似下圖。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

處理代碼如下:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

如果以上情況均失敗,惡意代碼還會嘗試請求如下鏈接,該鏈接也是一張圖片,和上面方法一樣從EXIF中提取經緯度並處理得到下載地址。

http://taknowall.com/manage/content/update.php

如果上面的所有方式都嘗試后依然無法成功獲取C&C地址,惡意代碼會通過鏈接http://api.ipify.org?format=json獲取到當前設備的外網IP地址,然後嗅探當前設備的原始網絡流量數據,並試圖從這些流量數據中過濾出符合特定格式的網絡數據包,如果滿足格式要求,便會從該數據中提取出第二階段惡意代碼的下載地址。其中過濾包時需滿足如下條件:

  1. 原始數據流長度必須大於0x3D
  2. 數據包必須為TCP包
  3. 數據包的SYN必須被設置
  4. 目的IP必須為當前設備的公網IP
  5. Tcp Option的MSS(Maximum Segment Size) 必須為0c 15 22 2B(實際上為非法MSS)

如果滿足以上條件,則從MSS之後的4個位元組提取出C&C的IP地址。我們將這種以SYN TCP數據流作為數據傳輸的技術成為」SYN隧道技術」。利用該種技術來傳輸C&C地址不僅能夠很好隱秘黑客的蹤跡(無需在惡意代碼逆向或者網絡存儲點上暴露黑客C&C地址),而且能夠靈活的變換C&C,非常難以被發覺。因此,可以說樣本中任何內置C&C或者存儲C&C的存儲點被處置后,該惡意代碼仍然可以受控於黑客。這給執法部門處置該惡意代碼帶來了巨大挑戰。原始流的部分判定代碼如下:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

如果以上任何一種方式能夠成功獲取到下載地址並且下載組件成功,惡意代碼便會直接執行所下載惡意代碼,然後退出。下載的第二階段的惡意代碼被保存為文件」/var/vpnfilter」。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

第二階段:控制命令接收、分發、執行

該樣本以實現後門控制為目的,其主要用於連接控制端服務器,接收控制命令執行相應的功能控制。樣本首先為了確保運行實體的唯一性,會綁定1386端口。如果該端口被佔用便會終止運行。此外在新版本中不再通過這種容易自我暴露的方式來做唯一性判定,並且添加了自我刪除的功能。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

如果綁定成功,便會進入核心工作代碼中執行。首先為了防止因CPU資源不足、平台兼容性等問題導致無法工作或者退出,其還註冊了大量異常信號用於自我復活。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

然後採用同樣的變形RC4算法和秘鑰來解密關鍵字符串以供後續使用。接下來會完成後續安裝配置流程。

首先檢測ssl證書文件是否存在,如果不存在,其會處於等候狀態,直到證書文件安裝完成。否則開始配置工作目錄、設置代理地址、設置Tor網絡地址、獲取外網IP地址、MAC地址、網絡名稱等信息。下圖為部分安裝信息。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

接下來創建工作目錄/var/run/xxm/及/var/run/xxw並開啟主循環,向控制端請求控制命令並且執行相應的控制功能。

控制命令的請求有兩種方式,一種是通過socks5代理方式,一種是通過Tor網絡請求。通過socks5代理請求的C&C地址如下(在新版本中91.121.109.209被移除):

91.121.109.209
217.12.202.40
94.242.222.68

通過Tor網絡請求的地址如下(在新版本中」zuh3vcyskd4gipkm.onion/bin32/update.php」被移除):

6b57dcnonk2edf5a.onion/bin32/update.php
zuh3vcyskd4gipkm.onion/bin32/update.php
tljmmy4vmkqbdof4.onion/bin32/update.php

這兩種方式的請求都是通過ssl協議進行的。請求完成後,惡意代碼解析相應數據並且提取出控制命令和控制參數信息。其實現的遠程控制命令和控制參數信息如下:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

從該後門實現的遠程控制功能我們可以推測該黑客的動機:

(1)和其他後門一樣,黑客希望能夠通過遠程shell命令對設備進行完全的控制。
(2)黑客可以在一定時機對這些設備進行破壞性操作,使其無法再次使用。
(3)為了隱藏其可疑的控制流量,採用socks5和Tor逃避IDS監測。
(4)可以靈活的配置其在Tor網絡中的C&C服務器以及代理服務器
(5)能提供擴展模塊的下載與執行的操作。
(6)可靈活配置連接C&C的頻率,提高其活動的隱蔽性。

此外,該階段的最新惡意代碼有較大的變化,不僅對代碼做了優化、去除了日誌信息,還改變了部分控制命令的功能,比如kill命令用於結束進程及清理其下載的插件,新增加了update命令和restart命令。不言而喻,update命令用於更新樣本,restart命令用於重啟樣本執行。同時移除了seturl、proxy命令。

第三階段:擴展組件

第三階段目前已經發現大量的組件,其中包含一個為MIPS平台的流量嗅探器、一個用於破壞設備的dstr模塊、一個用於進行廣泛HTTP流量嗅探和監控的ssler模塊,還有一些輔助性模塊如:Tor client、mikrotik.o、torrc、ip_tables.ko、iptable_filter.ko、iptable_nat.ko等。輔助性模塊如Tor客戶端用於支持第二階段的Tor網絡通信。Tor工程提示:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

由於其為標準的Tor客戶端,不具備惡意功能,因此我們僅僅分析核心的三個模塊。

1、MIPS平台的TCP流量嗅探模塊

該模塊為MIPS平台,其主要通過從原始數據包中過濾出TCP/IP數據包,並且通過對TCP的payload數據進行過濾,檢索其中的敏感信息存儲起來。

該流量嗅探模塊通過第二階段惡意代碼遠程下載並啟動執行,其啟動運行參數如下:

{模塊名} DstDir Unkownagr ModbusServer

其中第一個參數為嗅探數據的存放路徑,第二個參數未使用,第三個參數為modbus server的IP地址。

該模塊啟動后並沒有做過多額外的工作,初始化環境后直接調用流量截取函數進行流量嗅探。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

同樣二進製程序中不帶任何符號文件,函數由我們分析完後進行了重命名。該函數主要創建一個原始socket並且接收當前設備所通過的原始數據流。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

接下來惡意代碼會根據TCP/IP頭部格式識別出TCP數據包以進行進一步的處理。

首先該模塊只關心數據包長度大於0x96個位元組的原始流數據,也就是說除去TCP/IP協議頭部的長度的0x36個位元組,該模塊僅僅監視大於0x60個位元組的TCP payload數據。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

對於TCP payload數據大於0x60個位元組的數據包,該模塊會解析IP、TCP協議,並且通過目的端口502判定當前流量數據是否是工控的modbus TCP協議包,如果是,且當前數據包的目的IP為運行參數中指定的IP地址,該模塊便會將該數據包中的源IP、目的IP、源端口、目的端口記錄下來。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

其中記錄的信息格式如下:

modbus

源IP:源端口->目的IP:目的端口(如:192.168.1.5:2243->192.168.1.3:503)

該信息記錄在文件%workdir%/rep_[time].bin

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

如果當前協議不是modbus協議,該模塊會根據已有的規則進行過濾,找出其關心的兩類數據:一種為攜帶有驗證信息HTTP數據包,一種是攜帶有登錄信息的HTTP請求數據。其中提取驗證數據的關鍵字為”Authorization: Basic」,一旦找到該信息,該模塊會將當前嗅探到的數據包直接記錄到文件%workdir%/rep_[%time%].bin中。

提取登錄信息的關鍵字如下:

用戶名關鍵字:”User=”、”user=”、”Name=”、”name=”、”Usr=”、”usr=”、”Login=”、”login=”

登錄密碼關鍵字:”Pass=”、”pass=”、”Password=”、”password=”、”Passwd=”、”passwd=”

此外要說明的是,數據包中只要滿足如下條件,該模塊便會丟棄:

(1)數據包的目的IP為模塊運行參數所指定的IP。
(2)數據包的源端口小於1024。
(3)數據包的源端口為8080/8088。
(4)TCP payload數據長度小於0x14。
(5)TCP Payload數據包中包含有"<?xml"、">"、"Basic Og=="、"/tmUnblock.cgi"、"Password required"、"<div」、"<form"、"<input"、"{"、"}"、"200 OK"、".get"、"<span "、"<SPAN "、"<DIV "等。

2、ssler HTTP嗅探與監控模塊

該模塊主要針對HTTP層實施更加豐富和強大的處理,其提供有HTTP流量重定向、HTTP流量監控與截取、流量劫持與篡改、定向注入JS以進行精準攻擊等功能。其由第二階段的惡意模塊啟動運行,運行參數說明如下:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

首先該模塊會使用insmod命令安裝三個iptable相關的內核模塊 (ip_tables.ko、iptable_filter.ko、 iptable_nat.ko),通過這三個模塊,惡意代碼可以將自己的規則配置到iptable中去 。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

接下來執行如下命令將所有80端口的流量重定向到其所監聽的8888端口上:

iptables -I INPUT -p tcp --dport 8888 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8888

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

為了保證該規則不會被刪除,該模塊會每隔5分鐘更新一次該規則。

該模塊會關注所有80端口上的數據,包括流向服務器端和流向客戶端的數據。在處理流向服務器端的數據時,為了最大化的監控到敏感數據,其會對HTTP請求的數據進行一定篡改。在處理流向客戶端的響應數據時,同樣會對數據進行篡改並且根據啟動參數的指定來對特定目標實施精準的JS注入,入侵到具體客戶端主機上,也可以是內網的辦公主機上。

(1)對請求數據的處理

首先,該模塊為了能夠最大限度的監控到流量,其會將所有請求數據的"https://"篡改為"http://"。為了確保HTTP傳輸的數據都為可處理數據,會修改」Accept-Encoding」的值,以及修改Connection的方式,具體處理方式如下:

i.將請求數據中的所有https篡改為http,以方便監控並竊取敏感信息,如登錄憑證等。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

ii.如果HTTP請求中包含有」Connection: keep-alive」,將會被替換為」Connection: close」。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

iii.如果HTTP請求中,HTTP頭中包含有gzip值的」Accept-Encoding」頭部域(排除url為jpg、jpeg、png、gif、css、js、ttf、woff文件),其將會轉化為」Accept-Encoding: plaintext/none」,這樣請求得到的數據便不會被服務器端壓縮。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

隨後,該組件可對截取的流量進行過濾並將相關數據保存到設備中。首先如果「dump:domain」參數被指定,http請求的url、port、http header都會保存在指定的文件中。如果在dump參數中沒有指定具體值(domain字符串為空)或者dump參數沒有指定時,其會dump包含有特定信息http請求信息。其通過URL來判定當前請求是否是其關心的請求,如果URL中包含有關鍵字:

「sername=」、「ser=」、「ame=」、「ogin=」、「ail=」、「hone=」、「session%5Busername」、「session%5Bpassword」、「session[password」

便會dump請求的頭部信息到指定的文件中。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

另外,對accounts.google.com發送的POST請求,只要其中包含有字符串「signin」,都會被dump下來。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

(2)對響應信息的處理

所有HTTP請求得到的響應數據都會被處理,其處理方式如下:

i.響應信息中Location的值如果是「https://」,則被替換為http://

ii.如果響應頭部中包含有Alt-Scv、Vary、Content-MD5、content-security-policy、X-FB-Debug、public-key-pins-report-only、Access-Control-Allow-Origin,便會被阻斷,也就是說,請求方無法得到響應。

iii.Dump所有請求包的數據到本地,其中包含https://http://

iv.如果參數「site:domain」指定了域名關鍵字或者域名的一部分,其會將一段javascript腳本注入到所有包含有的「Content-Type: text/html」 或者「Content-Type: text/javascript」響應數據的msgbody中。其注入方法:首先響應的msgbody數據中必須包含字符串「<meta name= … >」並且長度必須大於參數「hook:」所指定的字符串長度。如果滿足條件,字符串「<meta name= … >」將會被替換成為「<script type="text/javascript" src="[hook value]">」,當前受害者IP及其訪問的網站域名將會加入到內部的一個白名單中,以防止重複注入,白名單每4天會被清空一次。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

在響應數據中,惡意模塊會提取每個鏈接中的域名,並且將其加入到截取列表中,這個截取列表中所有的https和http請求都會按照「(1)對請求數據的處理」的方式進行處理。默認情況下包含有 www.google.com、 twitter.com、 www.facebook.com、www.youtube.com。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

3、 設備破壞模塊(Destroy module)

由於老版本的第二階段模塊單純的只是簡單擦除設備mtdblock0的前5000個位元組以破壞設備,有很大幾率會失敗,因此新版本的第二階段模塊將kill指令的破壞性功能取消,並採用插件模塊的方式來實現。該插件模塊不僅改進了破壞設備功能,而且還提供了痕迹清理的功能。其目的不僅讓設備無法恢復,而且即便恢復了也無法取證獲取惡意代碼相關痕迹。

模塊啟動后首先刪除自身文件,然後強制關閉所有包含”vpnfilter”、”security”、”tor”關鍵字的進程。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

接下來清理掉所有痕迹文件,其中包含有證書文件、Tor客戶端相關文件、版本信息文件等。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

該模塊還會遍歷mtd分區,並強制擦除整個FLASH。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

最後,其採用「"rm -rf /*"」強制遞歸刪除文件系統上的所有文件,並重啟設備。

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

四、總結

通過分析我們可以看出,該惡意代碼攻擊手法隱秘高明,其不僅採用代理+Tor+SSL的方式以逃避網絡流量的監測,而且還有多重策略用於確保核心組件(第二階段惡意代碼)的成功下發。首先採用了HTTP的方式將C&C存放於」direct」或者」location」字段中,如果這種方式被阻斷則採用圖片隱寫技術將C&C存儲於EXIF中,如果存儲C&C的圖片鏈接失效,其還在代碼中留了一個」SYN」後門,通過」SYN隧道技術」來傳輸C&C。這種可以說是黑客採取的一種較為高明且非常保險的策略,為其行動在被發現甚至是被阻斷後設置了多重保險,也便於在黑客發現被阻斷後進行快速切換,極大地提高了其控制的持久性和靈活性。

我們還可以看到,迅猛發展的物聯網設備也開始變成高級威脅組織的一類攻擊向量,其試圖通過這些設備來收集情報,包括登錄憑證以及工控設施相關的重要信息,通過靈活的模塊化架構,可根據相關情報對特定主機實施精準攻擊或者對大量設備實施極具破壞性的攻擊,其危害性非常之大。

建議廠商將檢測規則(Talos已經公開了100多條snort規則)加入到流量檢測設備中,如果支持原始流量檢測,也可利用「SYN隧道技術」中的特徵進行更加深度和精確的檢測。一旦發現受感染設備,建議採用應急策略對設備進行處置(比如對設備進行斷網並且複位恢復到出廠模式、更新最新固件),同時進一步檢查內網主機是否有被攻擊並請專業人士進行處理。

IOC:
第一階段涉及的相關URL:

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

第二階段涉及的相關IP及鏈接:

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
62.210.180[.]229
91.200.13[.]76
23.111.177[.]114
6b57dcnonk2edf5a[.]onion/bin32/update.php
tljmmy4vmkqbdof4[.]onion/bin32/update.php
zuh3vcyskd4gipkm[.]onion/bin32/update.php
4seiwn2ur4f65zo4.onion/bin256/update.php
zm3lznxn27wtzkwa.onion/bin16/update.php

最新受感染的設備如下:

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

參考鏈接:
https://blog[.]talosintelligence.com/2018/05/VPNFilter.html
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html


啟明星辰積極防禦實驗室(ADLab)

ADLab成立於1999年,是中國安全行業最早成立的攻防技術研究實驗室之一,微軟MAPP計劃核心成員。截止目前,ADLab通過CVE發佈Windows、Linux、Unix等操作系統安全或軟件漏洞近400個,持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋操作系統與應用系統安全研究、移動智能終端安全研究、物聯網智能設備安全研究、Web安全研究、工控系統安全研究、雲安全研究。研究成果應用於產品核心技術研究、國家重點科技項目攻關、專業安全服務等。
VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅


VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅
本文由 Seebug Paper 發佈,如需轉載請註明來源。本文地址:https://paper.seebug.org/618/

转载请注明:IMGIT » VPNFilter:危及全球工控設備和辦公網絡的物聯網高級威脅

发表我的评论
取消评论

*

code

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址