按 Enter 到主內容區
:::

TWCERT-電子報

:::

新病毒VPNFilter來襲,可能影響全球50萬網路設備

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-28
  • 點閱次數:608
新病毒VPNFilter來襲,可能影響全球50萬網路設備

1. 近期有大量網路設備已經遭VPNFilter病毒感染,受害者遍佈至少54個國家,目前已知可能已被感染的設備品牌包含Linksys、MikroTik、NETGEAR、TP-Link的SOHO路由器(小型家用/辦公用路由器)及QNAP NAS設備。 2. VPNFilter病毒包含三階段攻擊,若遭感染,會導致網站憑證遭竊取,及流經SCADA的Modbus通訊協定之流量遭竊聽。

 

Cisco旗下Talos公司發布報告,發現近期有大量網路設備已經遭VPNFilter病毒感染,且受害者遍佈至少54個國家,目前已知可能已被感染的設備品牌包含Linksys、MikroTik、NETGEAR、TP-Link的SOHO路由器(小型家用/辦公用路由器)及QNAP NAS設備。
VPNFilter病毒包含三階段攻擊,若遭感染,會導致網站憑證遭竊取,及流經SCADA的Modbus通訊協定之流量遭竊聽。

若使用這些產品的使用者,建議採取以下措施:
1. 重置SOHO路由器及NAS設備至原廠狀態後重開機,若已感染病毒者可以此方法暫時移除病毒
2. 立即將設備之軟/韌體更新至最新版本

●已知C2網域及IP(可能仍有未被發現資訊)

與第一階段攻擊有關:
photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

與第二階段攻擊有關:
91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.php

●已知檔案HASH值(可能仍有未被發現資訊)

第一階段病毒:
50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92

第二階段病毒:
9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b

第三階段插件:

f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

自行簽署之憑證:
d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747
c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851
f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d
be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5
27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f
b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78
cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b
044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d
d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412

●已知遭感染設備(可能仍有未被發現資訊)

LINKSYS:
E1200
E2500
WRVS4400N

MIKROTIK ROUTEROS VERSIONS FOR CLOUD CORE ROUTERS:
1016
1036
1072

NETGEAR:
DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

QNAP:
TS251
TS439 Pro
其他運行QTS軟體的QNAP NAS裝置

TP-LINK:
R600VPN

 

 

參考連結:

https://blog.talosintelligence.com/2018/05/VPNFilter.html
https://www.us-cert.gov/ncas/current-activity/2018/05/23/VPNFilter-Destructive-Malware

相關連結

  1. https://blog.talosintelligence.com/2018/05/VPNFilter.html
  2. https://www.us-cert.gov/ncas/current-activity/2018/05/23/VPNFilter-Destructive-Malware
回頁首