保安建议(S18-01): 保护你的路由器,免受 VPNFilter 恶意软件攻击


发布日期: 2018 年 9 月 11 日
最后更新: 2018 年 10 月 5 日

摘要

VPNFilter是一种恶意软件,其设计是令小型或家居办公室(SOHO)路由器或网络储存(NAS)装置等网络设备受到感染。该恶意软件能让黑客对经由易受攻击的路由器传输的通讯进行中间人(man-in-the-middle)攻击,收集凭证,并取得系统控制权限。保安研究员在2018年5月警告,VPNFilter自2016年起或已感染54个国家超过50万部装置。

我们建议所有小型或家居办公室的网络设备用户重新启动他们的路由器及网络储存装置,以暂时阻拒该恶意软件,并以最新的固件更新有关装置,以策安全;而日常妥善的做法是更改路由器的预设密码和关闭远端管理设定,以加强保安。

受影响装置

已知受VPNFilter影响的小型或家居办公室路由器及网络储存装置如下:

小型或家居办公室路由器

供应商 型号
ASUS RT-AC66U、RT-N10、RT-N10E、RT-N10U、RT-N56U及RT-N66U
D-Link DES-1210-08P、DIR-300、DIR-300A、DSR-250N、DSR-500N、DSR-1000及DSR-1000N
Huawei HG8245
Linksys E1200、E2500、E3000、E3200、E4200、RV082及WRVS4400N
MikroTik CCR1009、CCR1016、CCR1036、CCR1072、CRS109、CRS112、CRS125、RB411、RB450、RB750、RB911、RB921、RB941、RB951、RB952、RB960、RB962、RB1100、RB1200、RB2011、RB3011、RB Groove、RB Omnitik及STX5
NETGEAR DG834、DGN1000、DGN2200、DGN3500、FVS318N、MBRN3000、R6400、R7000、R8000、WNR1000、WNR2000、WNR2200、WNR4000、WNDR3700、WNDR4000、WNDR4300、WNDR4300-TN及UTM50
TP-Link R600VPN、TL-WR741ND及TL-WR841N
Ubiquiti NSM2及PBE M5
ZTE ZXHN H108N


网络储存装置

供应商 型号
QNAP TS251、TS439 Pro及其他使用QTS软件的QNAP网络储存装置

(来源:https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

弱点

在小型或家居办公室的环境中,受影响的装置可能会在没有网络周边防御措施(如防火墙、网络入侵保护系统、应用程式代理或虚拟私有网络伺服器)的保护下连接至互联网。这些受影响的装置通常只有很少或甚至没有内置的抗恶意程式码软件支援。新手用户未必能适时为有关装置安装已公布的漏洞修补程式。这些弱点都会令装置容易遭受VPNFilter攻击。

多阶段攻击

虽然起始的攻击媒介仍未确定,但攻击者或可通过已知的漏洞遥距攻击有关装置。使用预设密码或不严谨的密码亦可让攻击者以暴力攻击方法入侵装置。攻击者一旦成功把VPNFilter安装在装置上,该恶意软件便会分三个阶段运作,并在每一阶段下载更多恶意模组以进行不同的攻击。

第一阶段,VPNFilter会在受感染的装置设置立足点,并利用部署伺服器为其后各阶段的攻击作准备。通过更改装置的非挥发性记忆体(NVRAM),恶意软件会安装一个可持续载入的程式,并将其加到装置的工作排程中。因此,在此阶段载入的恶意软件不能藉着重新启动装置而清除。

第二阶段,VPNFilter会使用不同的功能收集情报、执行指令、窃取资料和管理装置。VPNFilter甚至可以盖写固件,令装置不能使用;但这一阶段的功能会在关掉装置电源和重新启动装置后删除。

第三阶段,VPNFilter为第二阶段的恶意软件提供更多插件模组,以提供多种精密的入侵功能,包括封包探取法、Tor网络接达、转送和查看网页的浏览通讯、把网络通讯转发至攻击者特定的基础设施、阻止网络接达特定的互联网规约地址、扫描和布置局部网络以便恶意软件横向移动、执行远端指令,以及建立加密隧道,躲避远端行动及窃取资料的侦测。重新启动装置亦可删除在此阶段加载的插件。

具适应性的恶意软件控制

VPNFilter会于图像分享网站「photobucket[.]com」下载一张相片,并通过相片的全球定位系统(GPS)经纬度取得指令及控制(C2)伺服器的地址。恶意软件亦会预留另一域名「toknowall[.]com」作为后备网站,以下载同一张相片。如VPNFilter未能从这两个域名取得C2伺服器的地址,便会听候攻击者发出的特定触发器封包。当收到符合预定条件的封包时,VPNFilter便会从封包抽取C2伺服器地址。

影响

机密性受到破坏,因为用户的网络通讯会经过受感染的装置。VPNFilter可以监察通讯、截取通讯和窃取用户资料。即使用户接达HTTPS网站,恶意软件仍可进行中间人攻击,把加密HTTPS通讯的请求转为未经加密的HTTP接达。

装置受到永久性破坏,原因是VPNFilter在第二阶段的恶意软件可以执行指令破坏装置的固件,令装置不能运作。大部分非技术消费者都不能复原或逆转有关破坏;而更严重的情况是,由于太多网络周边装置都可能受到感染,或会引致所有消费者均不能接达互联网。

端点装置受到感染,VPNFilter可通过受感染的网络装置在通讯植入漏洞开发编码或恶意内容,以到达用户的端点装置。

攻击者可作进一步攻击,从受VPNFilter感染的装置通过互联网向其他系统发动攻击。由于不知情的用户因其受感染的装置成为了发动进一步攻击的平台,因而会遭其他受害者列入黑名单、封锁和反击,而原本的攻击源头则隐藏在受感染的装置背后。

建议

建议受影响装置的拥有人:

  1. 重新启动你的装置作为预防措施,以暂时中断恶意软件可行的运作。
  2. 提升你的装置至最新可用的固件版本,以确保所有已知漏洞已获修补。
  3. 更改预设凭证,并设置严谨的密码,以登入你的装置。
  4. 关掉你的装置的管理界面互联网接达。
  5. 在你的网络装置与端点装置之间安装额外保安保护措施,例如防火墙及抗恶意程式码方案。

如果你的装置受到感染:

  1. 中断你的装置与互联网的连接。
  2. 把你的装置恢复至原厂设定,并从未受感染的备份修复装置的配置。
  3. 更改新的管理员密码。
  4. 在重新连接你的装置至互联网后,安装最新的修补程式及更新装置。

延伸阅读

US-CERT Alert(TA18-145A)
https://www.us-cert.gov/ncas/alerts/TA18-145A

New VPNFilter malware targets at least 500K networking devices worldwide
https://blog.talosintelligence.com/2018/05/VPNFilter.html

VPNFilter Update - VPNFilter exploits endpoints, targets new devices
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

VPNFilter III: More Tools for the Swiss Army Knife of Malware
https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html




保安建议(S17-01): 保护你的Wi-Fi网络,免受 WPA/WPA2 漏洞影响


发布日期: 2017 年 10 月 24 日
最后更新: 2017 年 11 月 22 日

摘要

Wi-Fi Protected Access (WPA及WPA2) 安全加密协议是由Wi-Fi联盟(Wi-Fi Alliance)开发以提升Wi-Fi网络的安全。WPA及WPA2存在多个漏洞,令资讯保安威胁者可窃听你的网络通讯、解密通讯、劫持连接,以及进行中间人(MitM)攻击。所有应用WPA及WPA2而未有修补相关漏洞的网络装置都会受到影响。

安全研究人员在2017年10月披露研究结果,把有关漏洞合称为「KRACK」(Key Reinstallation AttaCKs)。这些漏洞利用标准WPA及WPA2保安规约的弱点,破解Wi-Fi通讯的机密性及完整性。所发现的漏洞合共有十个,其中九个需要在流动装置的客户端操作系统安装更新修补漏洞,包括手提电脑、流动电话、平板电脑等。第十个漏洞则须修复Wi-Fi接入点固件的漫游功能。

我们强烈建议用户在使用公共Wi-Fi服务时,如对Wi-Fi接入点的安全措施有任何疑问,应采用第二层保护设施,如虚拟私有网络(Virtual Private Network or VPN)、传输层保安(Transport Layer Security or TLS)及安全外壳协定(Secure Shell or SSH),以加密Wi-Fi网络连接的数据及保护数据的机密性。

漏洞及影响

WPA及WPA2广泛应用于Wi-Fi客户端装置及接入点。由于规约本身存在弱点,因此所有符合规格实施WPA 及WPA2的系统都有漏洞。成功利用这些漏洞发动的攻击可导致讯息外泄、讯息伪造、通讯受阻或其他损害。

所涉及的漏洞概述如下:

相关漏洞 可利用的交握(handshake)程序 受影响系统
CVE-2017-13077 4-Way handshake
  • 客户端装置连接网络时的认证
使用以下操作系统的Wi-Fi客户端装置:
OS X、macOS、 Android、OpenBSD、 MediaTek、wpa_supplicant
CVE-2017-13078
CVE-2017-13079
CVE-2017-13080
CVE-2017-13081
CVE-2017-13087
CVE-2017-13088
Group Key handshake
  • 客户端装置重新协商广播及多点播放的密码匙
使用以下操作系统的Wi-Fi客户端装置:
OS X、macOS、iOS、Android、OpenBSD、Windows、MediaTek、wpa_supplicant
CVE-2017-13082 Fast-BSS transition handshake
  • 加快移动中的客户端装置连接和脱离途经的Wi-Fi接入点
Wi-Fi路由器、Wi-Fi接入点
CVE-2017-13084
CVE-2017-13086
PeerKey handshake
  • 两个客户端装置互相连接
使用wpa_supplicant的Wi-Fi客户端装置


US-CERT公布了一份供应商名单,这些供应商已披露他们是否受到影响及其解决方案。
https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4

建议

适用于Wi-Fi客户端(包括手提电脑、流动电话及互联网装置)的拥有人╱用户

  1. 将受影响的流动装置操作系统升级至最新版本。
  2. 除WPA/WPA2外,采用HTTPS (SSL/TLS)或VPN处理个人、机密或敏感资讯。
  3. 不使用时关闭Wi-Fi功能。


适用于Wi-Fi网络装置(如接入点及路由器)的拥有人╱管理员

  1. 在修复FT漏洞(CVE-2017-13082)的建议更新推出时,为接入点及路由器执行固件升级。
  2. 在为固件升级前,停用Wi-Fi网络装置的802.11r快速漫游功能。


适用于公共Wi-Fi及网络热点的服务供应商

  1. 在修复FT漏洞(CVE-2017-13082)的建议更新推出时,为接入点及路由器执行固件升级。
  2. 在为固件升级前,停用Wi-Fi网络装置的802.11r快速漫游功能。
  3. 通知你的流动客户为他们的流动电脑或装置升级或进行修补。
  4. 执行第二层网络隔离,阻止客户端与客户端的直接通讯,从而避免PeerKey handshake受到攻击。
  5. 采用无线入侵保护系统,以侦测无线攻击和提供实时警报,防止用户因错误连接非法接入点而遭受中间人攻击。

KRACK是什么?

根据发现有关弱点的安全研究人员,KRACK针对四类Wi-Fi加密交握协议,包括4-Way handshake、Group Key handshake、802.11r Fast-BSS Transition (FT) handshake及PeerKey handshake。攻击者如位处目标无线接入点与网络装置的Wi-Fi传输范围内,则通过仿冒有关网络和强迫网络装置不再连接合法接入点,改而连接伪冒接入点,便能攻击有关漏洞。

4-Way handshake 用于为受保护的Wi-Fi网络产生新的对话金钥(session key)。中间人攻击者拦截并操控客户端与接入点之间的交握协议讯框(frame),令客户端重新安装已经使用的密码匙。重新安装密码匙时,会把供一次性使用而称为nonce的密码匙计数器重设至初始值。这个nonce之后会被重用,加密后续的数据讯框,让攻击者可重发、解密或伪造讯框。由于Windows和Apple iOS并非按照802.11 WPA标准执行4-Way handshake,因此这些操作系统不会遭受针对4-Way handshake的攻击。另一方面,由于程式错误,Android 6.0甚至会在收到重新安装密码匙讯息时,安装可预测的全零密码匙。

Group Key handshake 用于分发接入点所使用的群组金钥,为发送予所有或多个客户端的广播或多点播放讯框加密。Group Key handshake受到中间人攻击,会令客户端重新安装群组密码匙。群组密码匙的重发计数器会因而重设,令攻击者可重发先前发送的广播/多点播放讯框。所有Wi-Fi客户端,包括Windows、Apple iOS、Android、Linux等均有机会受到针对Group Key handshake的攻击。

802.11r或Fast Basic Service Set Transition (FT) handshake 用于缩短客户端从某个接入点移至同一网络另一个接入点的漫游时间。针对FT handshake的攻击无需通过中间人角色,只要窃听和注入讯框便已足够。攻击者重发这个交握讯框,在接入点启动重新安装密码匙的程序,从而把相关的nonce及重发计数器重新初始化,并促使客户端向接入点重发数据讯框。

PeerKey handshake 是在两个客户端无需通过接入点直接通讯时使用。由于这个交握程序有部分是建基于4-Way handshake,因此所遭受的攻击可与4-Way handshake遭受攻击的方式完全相同。

延伸阅读

US-CERT Alert (VU#228519)
https://www.kb.cert.org/vuls/id/228519

Key Reinstallation Attacks - Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

Wi-Fi Alliance security update October 2017
https://www.wi-fi.org/security-update-october-2017

Guidelines on the Security Aspects for the Design, Implementation, Management and Operation of Public Wi-Fi Service, Office of the Communications Authority
http://www.coms-auth.hk/filemanager/statement/en/upload/388/gn182016e.pdf




保安建议(S16-01): 加强微软 Windows PowerShell 保安

发布日期: 2016 年 12 月 28 日

问题描述

研究人员和保安供应商作出警告,指微软Windows PowerShell的保安威胁有上升趋势,并建议立即采取措施,为PowerShell自动化工具升级和强化微软视窗系统的保安,以防攻击者滥用。

影响

PowerShell是强大的指令行界面壳层(shell)和以任务为本的指令码语言(scripting language)。PowerShell内置于所有受支援的微软视窗版本,专为系统管理员和高阶用户设计,令作业系统的管理工作,以及与在作业系统上运作的应用程式(如Microsoft Office和网页浏览器)相关的程序得以自动化。
 

攻击者如获得PowerShell的使用权限,则无须将任何恶意程式下载到硬碟,便能控制电脑。PowerShell会直接在记忆体中执行命令,并在登录档中储存指令,而不会在硬碟上保存任何恶意程式。因此,PowerShell的活动很难被监察、侦测和分析。此外,远端存取功能亦备有预设的加密保护,让攻击者更容易绕过网络入侵侦测系统(IDS)的监察。恶意的PowerShell活动如混杂于正常的PowerShell操作中,便难以在日志记录档中被察觉。
 

攻击者愈来愈多使用这种「无档案恶意程式」的攻击,藉此避过侦测和持续地隐藏于受害者的电脑和网络。这并非由于PowerShell存在任何安全性漏洞,但却显示正确配置这个强大系统管理工具和进行修补程式管理十分重要。

建议

建议措施:

  1. 更新至最新的PowerShell 5版本 − 目前的版本PowerShell 5较以往的版本配备更有效防御威胁的功能,例如加强日志记录功能,以及能与抗恶意软件扫描界面(Anti-malware Scan Interface(AMSI))进行整合。
  2. 强制执行指令码政策 − 利用羣组原则和程式码签署凭证执行指令码政策。所有将于用户电脑上运作的指令码均须由可信任的发行者签署,以防止恶意指令码的执行。
  3. 将获准使用PowerShell程式的指令码和用户加入白名单 − 只有特定的系统管理员或有需要的用户才可执行和使用预设及特制的PowerShell程式。
  4. 开启PowerShell事件日志记录功能 − PowerShell 5提供延伸的日志记录方法,有助侦测和分析可疑的PowerShell活动。
  5. 封锁PowerShell − 在「Constrained Language Mode」中设定为 「NoLanguage」,以削弱互动式输入和用户编制指令码的功能,从而限制恶意PowerShell指令码的攻击面。
  6. 强化PowerShell remoting功能 − 应通过羣组原则配置WinRM的用户端和服务,以删除所有不必要的规约、停用已储存的身分凭证和预设的网络埠(例如埠号80和443)。

其他资讯

尽管PowerShell具备「无档案」执行的能力,但攻击者必须先获得接达系统的权限,才能执行PowerShell。攻击者需通过常用的初始攻击媒介,例如钓鱼电邮和路过式的下载活动(drive-by downloads)进入目标系统。除确保PowerShell配置正确外,用户应在网络保安上实践良好作业模式,作为前线的防御措施。
 
其他建议措施:

  1. 把操作系统、应用软件和设备韧体更新至最新的版本,以及安装最新的保安修补程式;
  2. 把抗恶意软件识别码及引擎维持在最新的版本;
  3. 关闭系统上不必要的服务程式;
  4. 向用户授予最低级别的系统使用权限,限制他们安装和执行不必要的软件应用程式;
  5. 建议用户即时删除任何可疑电邮,并对附件和超连结提高警觉;
  6. 即使Office文档上弹出开启巨集的提示,用户亦应避免重新开启巨集;
  7. 定期为数据备份,并保护其离线的备份;
  8. 设置防火墙,以分隔网络,并阻挡恶意的数据通讯;
  9. 开启反滥发电邮过滤器,阻截钓鱼电邮;
  10. 开启网页浏览器上阻拒广告(Ad-blocker)的功能;
  11. 对系统进行定期的漏洞扫描和渗透测试;以及
  12. 对最新的威胁保持警觉,以适时制订应变方案。

参考资料:

Microsoft Developer Network, PowerShell,
https://msdn.microsoft.com/zh-tw/powershell/scripting/whats-new/what-s-new-with-powershell
https://msdn.microsoft.com/powershell

Microsoft Windows Management Framework 5.0
https://www.microsoft.com/en-us/download/details.aspx?id=50395

Securing PowerShell in the Enterprise, Australian Cyber Security Centre
https://www.asd.gov.au/publications/protect/Securing_PowerShell.pdf



保安建议(S15-01): 停用保密插口层3.0 (SSLv3)

发布日期: 2015 年 5 月 15 日

问题描述

保密插口层3.0(SSLv3)是一个过时及不安全的通讯协议,已经被传输层安全(TLS)协议取代。
 

保密插口层和传输层安全均属加密通讯协议,旨在为计算机网络提供通讯安全。这两种通讯协议使用X.509证书,透过非对称加密技术与通讯的另一方进行身份验证,并使用超文本传输规约(HTTPS)为网页服务器和浏览器之间的通讯进行加密。

影响

SSLv3 在设计上的漏洞容许网络攻击者破解及获得在加密传输上的讯息。「POODLE」(Padding Oracle On Downgraded Legacy Encryption)攻击逼使网页服务器和浏览器的通讯不使用TLS,而采用安全性较低的SSLv3进行妥协加密。然后,攻击者进行「BEAST」(Browser Exploit Against SSL / TLS)攻击,以获得加密数据串流中的信息。这样的中间人(Man-in-the-middle)攻击需要大量的时间和资源,因此风险相对较低。
 

SSLv3已经被使用超过15年,几乎所有的网页浏览器仍然支援使用有关通讯协议。攻击者会导致连接失败,逼使网页服务器和浏览器使用较旧的通讯协议(包括SSLv3)重新尝试通讯,从而发动攻击。

建议

没有修补程式可以修补此漏洞,唯一的解决办法是在所有网页服务器和浏览器上停用SSLv3。请谨记,修改运作系统前须先进行彻底测试。
 

网页服务器管理员需要采取的行动

1. 检查网页服务器是否存在漏洞
2. 停用SSL v3
3. 安装最新修补程式
 

行动 参考工具
检查网页服务器是否存在漏洞 Qualys SSL Server Test(只提供英文版)
更改配置设定 POODLE: Turning off SSLv3 for various servers and client by SANS Internet Storm Center(只提供英文版)

  用户需采取的行动

1. 检查网页浏览器是否存在漏洞
2. 若要使用加密通讯,请确保HTTPS已经启用
3. 使用最新软件
 

行动 参考工具
检查网页浏览器是否存在漏洞 SSLv3 POODLE Attack Check(只提供英文版)
更新至最新版本或更改浏览器设定 POODLE: Turning off SSLv3 for various servers and client by SANS Internet Storm Center(只提供英文版)

参考资料:

CVE-2014-3566 SSLv3 POODLE Vulnerability
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566