VPNFilter

VPNFilter是一种针对网路装置（如路由器）韧体的恶意软体，其主要行为包括但不限于蠕虫感染、中间人攻击、特洛伊木马、破坏受感染的路由器韧体等。^[1][2]FBI经过调查认为是由俄罗斯骇客集团Fancy Bear（英语：Fancy Bear）制作。^[3][4]

至2018年5月，全球约50万台网路通讯装置的韧体遭受感染（数量仍在持续增加中^[5]），不仅最初发现该恶意软体的Cisco、Linksys、Netgear等厂商的装置受影响，华硕、D-Link、Ubiquiti、华为、中兴、TP-Link、MikroTik、QNAP等众多厂牌的装置也有不同程度的感染，规模超乎对此介入调查的FBI的预期。受感染的装置要彻底除去该恶意软体只能重设路由器的韧体（返回出厂设定），然后立即更改装置的预设管理密码，单纯的重新开机虽然能一定程度上遏制该恶意软体的后续动作，但除了并不能阻止“感染复发”以外还有变成僵尸网络的风险。^[6][7]

软体行为动作

VPNFilter会感染多种网路路由器、第三层交换器等网路通讯装置，以及一些网路存储装置^[8]，并且该软体还表现出对工业控制系统常见的Modbus协定、SCADA系统有感染偏好，而这些协定在工厂厂房、仓储仓库的网路系统和控制系统中常见，在对该软体的反向工程中，发现对SCADA的偏好甚至还是写死的。^[9]

经过后来的版本分析显示，最初安装VPNFilter的蠕虫程式仅能攻击运行嵌入式Linux韧体的装置，而且还要特定处理器平台的编译版本，使用x86架构的Linux作业系统的网路通讯装置并未能感染，后来VPNFilter的攻击范围除了ARM架构、MIPS架构的装置以外，x86架构等也未能幸免；感染的作业系统也由Linux扩及至OpenBSD等类UNIX系统。^{[10][11][2][12]}

软体先是依据内建的厂商型号“花名册”来判别装置厂牌及型号，一旦命中则使用相应厂牌装置预设的管理员认证资讯（像是预设的路由器管理密码）来进入网路装置的作业系统，一般的路由器等装置预设便是管理员权限的使用者，因此这样实际上已经获得了管理员权限，不过这意味着要防范该恶意软体的话，仅需更改装置的预设管理密码或其它安全认证资讯即可。^[9]

在软体获得装置的管理员权限以后，便开始进行植入操作：^[9][13]

1. 第一阶段，蠕虫感染，寻找Busybox一类的工具包，获得后利用该工具包在crontab一类的工作排程器、开机启动管理器中加入自启动项，令其可以定时启动，即使是可执行文件及脚本被移除亦可在某个时间点上重新下载可执行文件并执行随后的感染动作；
2. 第二阶段，从远端抓取恶意软体的本体，即服务端，这是一个包含所有该软体所有基本功能特性的二进位可执行文件，会从远端（客户端）接收特定指令进行相应的操作，从远端发出的命令还可以令服务端下载新增额外的可选的功能模组；
3. 第三阶段，根据远端的指令，安装不同特定功能的模组，并执行相应的功能，不同场合安装的模组可能会不一样，如在工业控制装置上会安装Modbus、SCADA相关的组件，在需要监听通讯内容时安装dark web（英语：dark web）、Tor、ssller模组等

操作细节

VPNFilter在遭受感染的装置中对该装置所在网路位置的网路流量进行封包分析，获取该网路下的密码、使用者名称、数位签章等安全认证资讯，在某些时候还会执行数据篡改、对装置进行其它控制操作，包括作为往后使用这些窃取的认证资讯进行攻击的中继点，并隐藏这些攻击行为。

具体一些模组的细节，像是Tor模组可用于与远端的加密通讯；ssller模组可用于中间人攻击，向网路注入恶意流量负载，修改发送的流量，将HTTPS降级为HTTP，对Google、Facebook、Twitter和Youtube等站的流量进行调整以便监视；^[14][15][16]dstr模组会在必要时先抹掉VPNFilter的行动踪迹，再删除韧体内的一些必要软体以达到破坏被感染装置的目的。^[6]还有其它的功能模组，不少是基于现有的恶意软体重新编译打包而来。

该恶意软体还对对其进行追踪的行为有一定的反制措施。^[17]而且该恶意软体仍在持续演化中。^[18]

缓解及解决

Cisco和Symantec针对这些受感染装置影响，发表了使用者可操作的解决措施。

其中，根除措施是重设路由器装置（返回出厂设定），对于小型家用级别的装置，可使用惯常的用牙签、针等尖锐物按压装置重设孔内的按键达到重设目的（具体视不同装置而定）；一种是如果装置官方有韧体更新，可按照韧体安装说明重设韧体并重新安装路由器的韧体。不过无论何种方式达到了移除恶意程式的目的，原厂预设的装置管理密码是必须修改的，这也是防范再次感染的方法。

另一种方法是针对不能即时重设系统的临时缓解措施，由于装置受感染后，即便重启装置也只能暂时清除恶意软体，但仍处于感染的第一阶段，仍会试图通过某个网址重新下载恶意软体本体并继续感染其它网路通讯装置。^[19]

该恶意程式也引起了美国联邦调查局（FBI）的高度关注，在Cisco发表对VPNFliter的资讯安全报告后随即展开了调查，不久就通过追踪在受感染装置第一阶段进行下载恶意软体时的重新导向路径找到一个域名为“toknowall.com”的网址来源，但网址并没有明文显示，而是随机域名重新导向至此而得。^[4]针对病毒的第一阶段的感染，目前FBI一方面通过法院授权取得了对“toknowall.com”的控制权，将之重新导向至空连结（实际上是FBI的蜜罐，或是未知的行动^[20]），以避免第二、三阶段的感染（但该缓解方法非长久之计，仍有变成僵尸网路的风险）^[21]，而另一方面试图以蜜罐的方式获得更多的下载来源以追查发布者。^[22][23][3]

受影响装置、地区

至2018年5月24日，Cisco旗下的威胁情报组织Talos统计全球至少50万台装置被感染，分布于54个国家及地区，尤其是以乌克兰为感染的重灾区。^[10]次月的感染数量又翻了约一倍。^[5]

以下是可能受影响的装置清单：^{[10][2][12][11]}

本表是动态列表，或许永远不会完结。欢迎您参考可靠来源来查漏补缺。

华硕：

• RT-AC66U
• RT-N10
• RT-N10E
• RT-N10U
• RT-N56U
• RT-N66U

D-Link：

• DES-1210-08P
• DIR-300
• DIR-300A
• DSR-250N
• DSR-500N
• DSR-1000
• DSR-1000N

华为：

• HG8245

Linksys：

• E1200
• E2500
• E3000
• E3200
• E4200
• RV082
• WRVS4400N

Mikrotik：

• CCR1009
• CCR1016
• CCR1036
• CCR1072
• CRS109
• CRS112
• CRS125
• RB411
• RB450
• RB750
• RB911
• RB921
• RB941
• RB951
• RB952
• RB960
• RB962
• RB1100
• RB1200
• RB2011
• RB3011
• RB Groove
• RB Omnitik
• STX5
• Mikrotik RouterOS 6.37.5版至6.38.5版（现时最新版本）^[24]

Netgear：

• DG834
• DGN1000
• DGN2200
• DGN3500
• FVS318N
• MBRN3000
• R6400
• R7000
• R8000
• WNR1000
• WNR2000
• WNR2200
• WNR4000
• WNDR3700
• WNDR4000
• WNDR4300
• WNDR4300-TN
• UTM50

QNAP：

• TS251
• TS439 Pro
• Other QNAP NAS devices running QTS software

TP-Link：

• R600VPN
• TL-WR741ND
• TL-WR841N

Ubiquiti：

• NSM2
• PBE M5

Upvel：

• 型号未公布^{[nb 1]}

中兴：

• ZXHN H108N