当前位置：GHOST系统之家>电脑问题 > VPNFilter 再发威，华硕、中兴、华为、D-Link 也难逃魔掌

VPNFilter 再发威，华硕、中兴、华为、D-Link 也难逃魔掌

来源：Ghost系统之家浏览：时间：2023-07-31 09:04:53

VPNFilter 再发威，华硕、中兴、华为、D-Link也难逃魔掌

消息，过去几个月里感染了全球 54 个国家超过 50 万台路由器和 NAS 设备的 VPNFilter恶意软件恐怕还得再肆虐一段时间，它的破坏力可能比我们想象中还强。

思科 Talos 团队今天（6 月 7 日）发布了一份最新研究报告，透露了不少有关 VPNFilter 的技术细节。最初，业界普遍认为它只能感染Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器，但事实上华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴等品牌的产品也难逃魔掌。

这样一来，受到波及的设备名单也大幅扩容，从 16 款直接暴增至 71 款，这一数字未来可能还会继续增长（文末附有完整的受影响设备名单）。

除此之外，研究人员还发现了 VPNFilter 的新大招，它包装在三级插件中，是该恶意软件三段式部署系统的一部分。

VPNFilter 再发威，华硕、中兴、华为、D-Link也难逃魔掌

思科专家表示，他们发现了以下两个新的三级插件。

ssler —借助中间人攻击在端口 80 拦截和修改网络流量的插件。该插件还支持将 HTTPS 降级至 HTTP。
dstr —重写设备固件档案的插件。思科已经发现 VPNFilter 能抹掉设备固件，但在最新的报告中才在三级插件中定位到该功能。

除了这两个最新的，思科此前还发现了两个插件。

ps —能嗅探网络信息包并探测特定网络流量的插件。思科相信，这款插件是用来寻找 Modbus TCP/IP 信息包的，一般为工业软件和SCADA 设备（监测控制和数据采集）所用。不过，最近的迹象显示，该插件还能搜寻连接在 TP-Link R600 虚拟专用网络上的工业设备。
tor —VPNFilter 机器人会利用该插件通过 tor 网络与指挥控制服务器通信。

关于 VPNFilter 的技术细节其实已经写入思科的第一份报告了，最新的插件则放在了今天发布的报告中。

了解到，其实此前研究人员就发现 VPNFilter 的僵尸网络感染了全世界的设备，但当他们发现该网络正在对乌克兰的 IT基础设施发动攻击，才将该发现公之于众。 许多人相信，黑客会在今年的欧冠决赛时发动攻击（在乌克兰基辅举行）。

还好，FBI 及时出手，通过控制那台指挥控制服务器打掉了这个僵尸网络。不过，VPNFilter背后的势力可不弱，它们可能与俄罗斯军队有染。最近，该组织又开始新建另一个僵尸网络，目标还是感染乌克兰的网络。

下面是思科公布的最新名单，包含了被 VPNFilter 盯上的路由器和 NAS 设备。上个月思科就表示，VPNFilter不会利用零日攻击来感染设备，这就意味着所有有漏洞的设备只要升级到最新固件，就能逃脱恶意软件的魔掌。

如果用户不能升级固件，或者干脆买个新路由器，也有清除恶意软件的方法。不过，想从受感染设备上清楚恶意软件可不容易，毕竟它只是恶意软件链上的一环，即使杀掉也能在路由器和 IoT 设备上完成持续重启。此外，即使感染了VPNFilter，路由器也不会出现什么明显“症状”。因此，除非你会扫描路由器固件，要不被感染了恐怕你都不知道。所以，最好的办法还是经常检查更新并及时升级最新固件吧。

华硕设备:

RT-AC66U（新增）

RT-N10（新增）

RT-N10E（新增）

RT-N10U（新增）

RT-N56U（新增）

RT-N66U（新增）

D-Link 设备:

DES-1210-08P（新增）

DIR-300（新增）

DIR-300A（新增）

DSR-250N（新增）