VPNFilter:攻击行动评估 - By nEINEI Time:2018-05-23 1)"VPNFilter"是复杂模块化恶意软件系统,由思科Talos团队发现可能是国家赞助或国家层面支持的网络攻击组织。 2)"VPNFilter"的代码与BlackEnergy恶意软件的版本重叠,是一种潜在的破坏性恶意软件,以惊人的速度主动感染乌克兰主机,利用专用于该国家的指挥和控制(C2)基础设施。 3) 最初受"VPNFilter"影响的已知设备是小型和家庭办公室(SOHO)空间中的Linksys,MikroTik,NETGEAR和TP-Link网络设备,以及QNAP网络附加存储(NAS)设备。但在此之后, 研究人员发现攻击者正在瞄准其他设备,包括一些来自目标列表新手的供应商。这些新厂商包括华硕,D-Link,华为,Ubiquiti,UPVEL和中兴通讯。Linksys,MikroTik,Netgear和 TP-Link也发现了新设备。 Symptoms 相关样本信息: 50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec 0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92 b9770ec366271dacdae8f5088218f65a6c0dd82553dd93f41ede586353986124 37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4 776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d 8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1 0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b 最小闭合的攻击样本: 第一阶段:50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec ,size = 493448 第二阶段:9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17 ,size = 304760 攻击能力计算: K = 2 (正常安全认知范围) a = 3 (无交互) s = 1 (web入侵) m = 10 (代码注入,特种木马,范围极广的间谍功能,安装隐蔽的未知功能,恶意破坏,高难度&复杂技术实现,加密网络or支持多协议,武器集合,特定目标感染,针对特定文件/设备的利用) p = 1 (攻击1种平台,linux) x = 2+4(web入侵渗透,自签名证书指纹) 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (3 + 1 + 10 + 1) ^ 2 * (1+2+4) ^ 2 + (493448+304760)/1024 = 15^2 * (7^2)+ 779 = 11025+779 = 11804 ==>11804*1000/1279625(1T攻击力单位) = 9.224T 参考引用: 1.https://blog.talosintelligence.com/2018/05/VPNFilter.html 2.https://www.us-cert.gov/sites/default/files/publications/AR-17-20045_Enhanced_Analysis_of_GRIZZLY_STEPPE_Activity.pdf 3.https://blog.talosintelligence.com/2018/06/vpnfilter-update.html 2.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt