央廣網上海5月25日消息（記者傅聞捷 韓曉余 通訊員楊文）5月23日晚，思科公司Talos團隊發布預警稱，一款名為“VPNFilter”的最新惡意軟件正在全球蔓延，預估有54個國家遭入侵，受感染設備的數量至少為 50 萬臺。

　　該團隊研究分析結果顯示， VPNFilter破壞性較強，可通過燒壞用戶的設備來掩蓋蹤跡，比簡單地刪除惡意軟件痕跡更深入，利用 VPNFilter 惡意軟件，攻擊者還可以達到多種其他目的，如監視網絡流量并攔截敏感網絡的憑證；窺探到 SCADA 設備的網絡流量，并部署針對 ICS 基礎設施的專用惡意軟件；利用被感染設備組成的僵尸網絡來隱藏其他惡意攻擊的來源；導致路由器癱瘓并使受攻擊的大部分互聯網基礎設施無法使用。如果需要的話，類似命令可大規模執行，可導致成千上萬的設備無法使用。

　　目前受影響的設備，主要包括有小型和家庭辦公室（SOHO）中使用的 Linksys、MikroTik、NETGEAR 和 TP-Link 路由器以及 QNAP 網絡附加存儲（NAS）設備，尚未發現其他網絡設備供應商受感染。

思科公司公布了VPNFilter發起攻擊的流程示意圖

　　據介紹，VPNFilter屬于高度模塊化的框架，允許快速更改操作目標設備，同時能為情報收集和尋找攻擊平臺提供支撐。其實施攻擊的路徑主要分為三個階段。第1階段惡意軟件會通過重新啟動植入，該階段主要目的是獲得一個持久化存在的立足點，并使第2階段的惡意軟件得以部署。

　　第2階段惡意軟件擁有智能收集平臺中所期望的功能，比如文件收集、命令執行、數據過濾和設備管理，某些版本也具有自毀功能，覆蓋了設備固件的關鍵部分，并可重新引導設備，使其無法使用。

　　此外，還有多個階段3的模塊作為第2階段惡意軟件的插件，提供附加功能，當前思科Talos團隊已發現了兩個插件模塊:一個數據包嗅探器來收集通過該設備的流量，包括盜竊網站憑證和監控Modbus SCADA協議，以及允許第2階段與Tor通信的通信模塊，據稱仍然有其他幾個插件模塊但當前還沒有發現。

　　“針對VPNFilter惡意軟件和潛在擴展的攻擊面，我們有幾點防護建議。”25日，來自阿里巴巴安全部獵戶座實驗室高級安全專家介紹稱，由于受影響的設備大多數直接連接到互聯網，攻擊者和設備之間大多沒有安全設備，大多數受影響的設備有公開漏洞，且大多數都沒有內置反惡意軟件功能，這使得此類威脅防護比較困難。

　　“阿里安全獵戶座實驗室針對系統平臺、軟硬件基礎設施，底層的傳統和新興威脅有持續關注研究。”獵戶座實驗室安全專家介紹稱，解決方案主要包括幾個方面。

　　首先需要確保設備與補丁屬于最新版本，同時應該及時應用更新補丁，避免存在公開漏洞；另外，設備對外最小化開放端口服務，減少攻擊面；設備默認口令需要及時變更，同時滿足復雜度要求；Talos開發并部署了100多個Snort簽名，用于公開已知的與此威脅相關的設備的漏洞。這些規則已經部署在公共Snort集合中，可以使用這些規則來保護設備；對VPNFilter涉及的域名/ip地址做黑名單，并將其與該威脅關聯起來，進行檢測攔截防御；路由器和NAS設備被感染，建議用戶恢復出廠默認值，升級最新版本打上最新補丁并重新啟動。