俄罗斯黑客组织APT28使用VPNFilter感染了至少50万台路由器和Nas设备,FBI已将其控制

释放双眼,带上耳机,听听看~!

    近日,思科Talos发布了一篇关于VPNFilter感染全球超过500,000台路由器和NAS设备的报告,披露了该恶意软件的传播手短和技术细节。

    VPNFilter作为APT28的一支新武器,本应在周六乌克兰首都基辅举办欧洲冠军联赛足球决赛时爆发,在美国FBI的帮助下成功遏制。通过sinkhole  VPNFilter僵尸主机都需连接的域名“toknowall.com”,来防止僵尸网络的进一步的扩散。该域名主要用于获取命令和附加模块。

    该僵尸网络的植入与传播流程如下:

        整个过程涉及的样本均基于MIPS和X86架构,且样本进行数据传输过程中均采用了SSL加密

       后续继续写

YARA 规则打包

github.com/Neo23x0/signat

https://github.com/Neo23x0/sigma/blob/master/rules/proxy/proxy_ua_apt.yml#L33

https://gist.github.com/Neo23x0/00bc2b883c530f7a12b055549e9076ff

思科talos文章

https://blog.talosintelligence.com/2018/05/VPNFilter.html

FBI控制该僵尸网络的快讯

https://www.bleepingcomputer.com/news/security/fbi-takes-control-of-apt28s-vpnfilter-botnet/

 

受该僵尸网络影响的设备及型号如下:

    Linksys设备:

    E1200

    E2500

    WRVS4400N

    Mikrotik RouterOS基于云计算设计的核心设备路由器:

    1016

    1036

    1072

    Netgear设备:

    DGN2200

    R6400

    R7000

    R8000

    WNR1000

    WNR2000

    QNAP设备:

    TS251

    TS439 Pro

    其他运行着QTS软件的QNAP的NAS设备

    TP-Link 设备:

    R600VPN

IOC信息

第一步

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

第二步

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.php

第一步涉及的样本hash

50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
第二部涉及的样本hash

9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b

第三部的插件

f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

自签名证书指纹信息

d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747
c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851
f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d
be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5
27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f
b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78
cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526
110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b
044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d
d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806
c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412

本文源自微信公众号:黑鸟

人已赞赏
安全工具

明星隐私倒卖链:你到哪,我去哪

2019-10-16 10:10:09

安全工具

yikesnews第11期:微软Office两个0day和一个提权0day

2019-10-16 10:10:17

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索