概述

Cisco Talos团队在2018年5月23日首次披露了VPNFilter的存在。该恶意软件随即成为全球范围内的头条新闻，因为它是由一个民族主义国家开发的一种复杂的恶意软件，总计感染了50万台设备，并且还将会造成严重的破坏。然而，这场攻击者策划的袭击最终得以避免，原因在于FBI占用了攻击者的命令与控制（C2）基础设施，从而防止向受感染的设备广播命令。由于攻击者失去了对受感染系统的控制，所以也就防止了潜在的灾难性后果。

这一安全事件，实际上为我们敲响了警钟，提醒网络安全社区的成员，要注意防范一种新型的具有国家支持背景的威胁，这类威胁可以在全球范围内攻陷广泛的设备，同时隐藏攻击的来源，并最终导致网络瘫痪。

这是VPNFilter的故事，也是我们在今后要避免的灾难。

选取目标网络

对于攻击者来说，网络基础设施是一个诱人并且有用的目标。与任何计算机系统一样，路由器和交换机等网络设备中，可能包含允许攻击者入侵的漏洞或错误配置。一旦遭受攻击，这些设备就可以作为入侵的跳板，搜索并攻击其他更多的系统，或者可以按照攻击者的意愿修改设备的原始功能，并拦截、修改或重新路由网络流量。与许多其他计算机系统不同，在路由器和交换机上，不太可能会运行反病毒软件，甚至也不太可能受到管理员的过多注意。

在VPNFilter被披露之前的几周内，网络基础设施就明显成为了具有国家背景的威胁参与者的目标。我们监测到了与俄罗斯有关的威胁参与者的活动，与此同时世界各国政府机构也分别发布了针对恶意组织的安全建议。

VPNFilter活动痕迹

在2015年12月，有人注册了一个不显眼的域名toknowall.com。2017年5月4日，原本指向保加利亚的一个托管服务商的该域名，更改为指向法国托管的一个IP地址。尽管当时还不为人所知，但后来证明，这是攻击者与VPNFilter进行通信的手段之一。在2018年5月23日消除威胁之前，该域名始终保持活跃状态。

时间推移到2017年8月底，FBI已经意识到家用路由器出现了一些异常行为。一些设备会尝试连接到Photobucket帐户以下载图像，而这种行为显然是由恶意软件感染导致的。

实际上，威胁参与者同时在Photobucket帐户和toknowall.com域名上都托管了图像，其中威胁参与者用来向恶意软件发出指令的C2服务器IP地址被隐藏，伪装在图像的EXIF元数据中。

2018年3月，其他恶意软件样本被发现，这些样本也与Photobucket有关，并且在Photobucket不可用的情况下自动使用toknowall.com域名作为备选方案。通过对恶意软件样本进行分析，我们发现，威胁参与者在该恶意软件中出现了一个失误，也为安全研究人员提供了一条重要的线索。

为了使恶意软件中的重要数据不被外界轻易获取，恶意代码使用RC4的加密算法实现加密。但是，实现该算法的代码中存在一个微妙的错误，这个错误与针对乌克兰和其他地区的BlackEnergy攻击中所使用的代码具有相同之处。由于在两次攻击中使用了相同的代码，因此政府机构将这些攻击归因到名为APT28（或Sofacy）的恶意APT组织。

关于BlackEnergy和APT28

每个威胁活动的恶意组织，都具有其独特的运营模式、首要选项和特征，而这些内容将会具体体现在实际的攻击之中。例如，众所周知，恶意组织123通过分发与朝鲜半岛政治相关的文件来进行攻击。相比之下，威胁参与者Rocke试图通过从Git存储库下载代码来在被攻陷设备上安装加密货币挖掘软件。威胁行为者通常会重复使用代码或基础设施，这样就使得研究人员能够识别特定的威胁行为者并跟踪他们的活动。

APT28，也被称为Sofacy或Grizzly Steppe，是安全分析人员重点关注的恶意APT组织之一。毫无疑问，这个威胁行动者是俄罗斯情报部门的一部分，该组织非常活跃，并且可能会导致混乱的发生。

BlackEnergy攻击是该恶意组织最臭名昭著的攻击之一。BlackEnergy攻击在2015年12月破坏了乌克兰的供电，导致全国范围内的广泛停电。此次攻击的一大特点是，在攻击完成后将擦除磁盘，从而导致受感染的设备无法操作，并破坏应急响应过程中所需的证据，而这些证据本来可以用于准确理解攻击是如何进行的。

考虑到这种破坏系统和防止恢复的意图，所以在分析VPNFilter时，迅速响应是非常重要的因素之一。

攻击者的能力和目的

VPNFilter试图利用各种网络设备，影响了至少54个国家的50多万台设备。恶意软件的模块化体系结构允许威胁行为者安装各种不同的模块，以便利用受感染的设备进行不同的恶意活动。

最简单的是，恶意软件中包含“变砖”的能力，即使受感染设备永远无法操作。除此之外，恶意软件也可以作为网络上的跳板，并且随后用于发现和攻击与被攻陷设备相连接的其他系统。其中，有一个特定的模块，包含识别和监控Modbus网络流量的功能，这是工业控制系统中最为广泛使用的协议。

另一个模块允许恶意软件创建一个包含许多被攻陷系统的巨型Tor网络。该网络可能允许攻击者伪装从其他受感染系统发起攻击，或者伪装发送窃取数据的最终目的地。

显然，此次攻击的目标之一是捕获数据，特别是用户名和密码。该恶意软件能够将加密的HTTPS连接降级为未经加密的HTTP连接，然后保存该流量以备将来收集。类似地，恶意软件还能够识别、记录和收集看起来像是用户凭据或授权令牌的任何内容。

由于恶意软件感染路由器，将其网络流量定向到攻击者特定的目的地，因此恶意软件可以修改路由信息，并为某些流量创建自定义的目标，从而将流量从真正的目标重定向到攻击者控制的独立系统。所有这一切，都是在最终用户没有收到任何提示的情况下实现的。

应急响应

受影响的系统数量，在2018年春季中持续增长。然而，在5月8日和5月17日两天，我们观察到新感染的用户数量出现急剧增加。突然增加的用户几乎完全集中在乌克兰，这也表明恶意组织即将准备对该国发动攻击。

当时，Cisco Talos团队与个人团队和公共部门的伙伴进行了通力合作，尝试消除威胁。联邦调查局带领团队成功发现了C2基础设施，与此同时，Talos将该威胁事件告知行业联盟组织网络威胁联盟的所有成员，以确保整个网络安全行业能够共同行动，以消除威胁。

该行动取得了广泛的支持。执法部门关停了攻击者的C2基础设施，从而削弱了攻击者向受感染系统发送命令的能力。网络安全行业更新了安全产品的规则，从而能够检测并阻止VPNFilter，同时也面向用户发布如何进行安全防护的建议。

我们可能永远不会知道此次攻击的确切目的。根据感染数量大量增加的日期，我们推测攻击者可能选择在6月29日（乌克兰宪法日）、6月27日（NotPetya安全事件周年纪念日）或5月28日（正统五旬节）这些特殊的时间节点发动攻击。乌克兰国家安全局表示，这次袭击可能是为了扰乱5月26日在基辅举行的欧洲冠军杯联赛决赛。

防护方案

VPNFilter部分驻留在内存中，部分驻留在其感染的设备的存储介质上。在重新启动设备后，将会清除恶意软件在内存中驻留的部分，但不会阻止驻留在设备存储中的恶意软件启动与命令和控制（C2）系统的联系。但是，一旦C2被关停，恶意软件的持久化部分就无法再接收指令。

我们可以通过将设备重置为出厂设置，来清除残余的恶意软件，然后将设备升级到最新版本，以修复漏洞。尽管目前尚不清楚具体利用了哪些漏洞来实现安装VPNFilter，但所有受到攻击的设备都具有一些当前已知的漏洞。

考虑到外围网络设备在网络拓扑中的位置，这些设备往往是最先受到攻击的部分。而假如这部分设备具有已知未修复的漏洞，那么它们就可能会受到APT28等威胁参与者的攻击。

保持此类设备的漏洞及时修复，并保证其正确配置，是确保网络环境安全的一个重要组成部分。但反而言之，如果无法确保这一点，那么就需要将设备放置在下一代防火墙后面，以使在攻击影响存在漏洞的设备之前检测到相应事件，并阻止攻击。

提高警惕性，也是保证网络整体安全的一个组成部分。首先，可以通过识别受感染设备的异常网络行为来检测VPNFilter。理想情况下，可以在网络中部署传感器（探针），检测疑似攻击者的可疑行为，并及时进行告警。

总结和后续展望

Cisco Talos团队与FBI开展紧密合作，共同致力于识别和防范VPNFilter。该恶意软件的多阶段模块化平台，支持以智能化的方式收集目标信息，同时支持破坏性的网络攻击操作。该恶意活动成功感染了至少54个国家的50多万台设备。这种恶意软件可能被用于进行大规模的破坏性攻击，这会使得受感染的物理设备无法使用，同时也能切断数十万用户的互联网访问。然而，通过我们对威胁的识别和阻断，在加上与个人和相关部门的通力合作，最终在灾难发生之前就阻止了袭击。

在此次事件中，不同组织之间发挥了良好的合作，这是前所未有的。实际上，“做好情报保密以保证行动安全”与“与合作伙伴共享情报以实现共同行动”之间始终存在一个平衡点，一旦处于二者的平衡，将会最大化对威胁行为者的影响，同时可以有效降低攻击的严重程序。有证据表明，在应对VPNFilter事件的过程中，Talos所参与的网络威胁联盟发挥了一定的价值，此次行动也将鼓励其他个人或组织积极参与到我们的威胁数据共享之中。

安全人员通过分析VPNFilter的各种恶意模块，能够深入了解威胁行为者的目标和思路。值得注意的是，在感染路由器后，威胁行为者将网络流量从预期的合法目标重新路由到恶意目标。进而推知，这种能力也可以用于进一步收集用户名和密码，并且还可以通过将网络流量传递到预期目的地之前拦截并读取网络流量，从而进行中间人攻击。

APT28只是继续尝试破坏性攻击的众多威胁参与者的一个典型代表。Talos团队最近发现了Sea Turtle恶意活动。尽管该攻击背后的未知威胁行为者并非APT28，但它们还尝试重新路由互联网流量，以便进行中间人攻击，并收集用户凭据。但不同的是，该恶意组织通过攻击互联网的DNS基础设施，以一种与VPNFilter截然不同的方式实现了他们的目标。

显然，网络基础设施是民族国家威胁参与者的目标。我们可以预期，攻击者将会继续寻找攻陷这类系统的方法，并持续改进和开发他们用来实现目标的恶意软件。攻击者会从过去的失败攻击中“吸取教训”。在下一波不可避免的攻击浪潮中，我们可以预见，恶意软件会在网络流量中留下更少的痕迹，并且会具有更加复杂的C2基础架构，同时也能更好地应对C2中断的情况。

在当前，网络已经成为了我们工作和社交生活的核心，也是我们物理环境的核心。将人们连接到网络上的设备往往最容易被忽略，但正是这些设备，支撑了我们国家的关键基础设施和企业的运作。

通过VPNFilter的事件，我们应该清楚，攻击者并没有忽视这些系统的重要性，并且攻击者倾向于通过攻击网络来破坏社会的正常运转。然而，在试图进行这种攻击的过程中，威胁行动者已经暴露了他们所具有的技术，以及正在努力发展的能力。这些线索将有助于我们判断可以在哪里发现攻击，以及如何准备防御下一次攻击。

Talos将持续利用威胁预警的优势，来分析不断变化的威胁形势，并与合作伙伴持续合作以保护客户的安全。然而，网络安全是每个人都需要关注的问题。我们都有责任，确保我们具备足够的安全防护，将连接到网络的所有设备都进行了更新和彻底的修复，从而足以抵御下一次攻击。

我们不知道下一次重大的攻击事件会是什么，但我们会持续寻找关于即将发生攻击的一切线索，从而尽力在事件发生之前阻断恶意活动，并阻止灾难的发生。

参考文章

[1] 美国国土安全部：针对网络基础设施威胁日渐增加的现状提出推荐缓解措施

https://cyber.dhs.gov/assets/report/ar-16-20173.pdf

[2] 英国国家网络安全中心：关于互联网边界路由器设备的安全建议

https://www.ncsc.gov.uk/information/uk-internet-edge-router-devices-advisory

[3] 美国国土安全部：具有俄罗斯国家背景的恶意组织针对网络基础设施发动攻击

https://www.us-cert.gov/ncas/alerts/TA18-106A

[4] 美国宾夕法尼亚州西区地方法院：通缉令

https://www.justice.gov/opa/press-release/file/1066051/download

[5] Talos团队：新的VPNFilter恶意软件针对全球至少50万网络设备发动攻击

https://blog.talosintelligence.com/2018/05/VPNFilter.html

[6] 美国司法部：宣布采取行动打击感染感染路由器和网络存储设备的APT28恶意组织

https://www.justice.gov/opa/pr/justice-department-announces-actions-disrupt-advanced-persistent-threat-28-botnet-infected

[7] Talos团队：恶意活动瞄准韩国

https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html

[8] Talos团队：门罗币挖矿恶意软件Rocke分析

https://blog.talosintelligence.com/2018/08/rocke-champion-of-monero-miners.html

[9] MITRE ATT&CK组织列表

https://attack.mitre.org/groups/

[10] 美国国土安全部和联邦调查局：俄罗斯恶意网络活动GRIZZLY STEPPE分析

https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf

[11] 英国国家网络安全中心：曝光俄罗斯军事情报部门不计后果的网络攻击活动

https://www.ncsc.gov.uk/news/reckless-campaign-cyber-attacks-russian-military-intelligence-service-exposed

[12] 美国国土安全部：针对乌克兰关键基础设施的网络攻击

https://ics-cert.us-cert.gov/alerts/IR-ALERT-H-16-056-01

[13] 信息共享：网络威胁联盟关于VPNFilter的调查

https://www.cyberthreatalliance.org/information-sharing-action-cta-incident-review-vpnfilter/

[14] 乌克兰安全局：欧洲杯决赛期间可能会发生对国家部门和私营公司的大规模网络攻击

https://ssu.gov.ua/ua/news/1/category/21/view/4823#.Xa4RX7cc.dpbs

[15] Talos团队：DNS劫持滥用核心互联网服务

https://blog.talosintelligence.com/2019/04/seaturtle.html