有关VPNFilter的新信息：对用户设备进行攻击，扩展了网络设备的列表

引言

思科Talos的分析部门与技术合作伙伴共同揭示了与VPNFilter恶意软件有关的其他详细信息。 自从该主题的第一本出版物发布以来，我们发现VPNFilter恶意软件针对的设备型号更多，并扩大了其产品可能被感染的公司列表。 此外，我们发现该恶意软件还具有其他功能，包括对用户终端实施攻击的能力。 Talos最近发表的一篇博文讨论了一项大规模的活动，目的是将VPNFilter扩展到家庭或小型办公室的网络设备以及许多网络存储系统。 该出版物还提到威胁研究正在进行中。 首次出版后，一些行业合作伙伴为我们提供了其他信息，这些信息有助于我们在调查中取得进展。 作为本出版物的一部分，我们介绍了过去一周获得的这项调查结果。
首先，我们发现以恶意活动为目标的设备制造商列表需要补充新的参与者。 该设备是华硕，D-Link，华为，Ubiquiti，UPVEL和中兴。 还确定了受此攻击影响的Linksys，MikroTik，Netgear和TP-Link发布的其他设备型号。 目前，我们的调查并未发现Cisco发布的网络设备中存在任何漏洞。 设备的更新列表如下。

此外，我们发现了一个新的恶意模块，该恶意模块在第3阶段运行，可确保当此类流量通过受感染的设备传输时，将恶意内容添加到Web流量中。 在首次发布时，我们还没有获得有关模块在阶段3运作的所有信息。新模块允许恶意活动的发起者使用中间攻击方法（即，拦截网络流量和在用户不知情的情况下将恶意代码注入流量）。 由于调查的新结果，我们可以确认威胁的可能性超出了网络设备的范围，并且威胁可以进一步传播到包括受感染网络设备在内的网络。 下面介绍了称为ssler的此模块的技术细节。

此外，我们发现了一个在第3阶段运行的附加模块，它提供了在第2阶段运行且不支持kill的任何模块，从而禁用了该设备。 启动后，此模块将删除设备上是否存在恶意VPNFilter的所有痕迹，并将设备置于不可操作状态。 下面还介绍了对该模块的分析，称为“ dstr”。

最后，我们继续研究步骤3中操作的数据包嗅探器，包括对Modbus流量检测方法的详细分析。

技术细节

新模块在第3阶段运行

'ssler'（终端黑客模块-JavaScript注入）

ssler模块（我们将其发音为“ Esler”）通过拦截所有发往端口80并通过设备传输的流量，提供了窃取数据和注入JavaScript代码的功能。 该模块维护一个参数列表，这些参数确定模块的行为以及将拦截其流量的网站。 第一个参数定义设备上将存储被盗数据的目录。 其他参数的分配如下所述：

• dst：-在创建的iptables规则中用于指示规则应应用于的收件人地址的IP地址或CIDR范围。
• src：-在创建的iptables规则中用于指定规则应适用的发件人地址的IP地址或CIDR范围。
• dump：-到dump参数中指定的任何域的所有HTTP请求标头都将保存在reps _ *。bin文件中。
• site：-如果将域指定为site参数的值，则其网页将成为JavaScript注入的目标。
• 钩子：-此参数定义用于注入的JavaScript文件的URL。

ssler模块执行的第一个操作是配置iptables设备，以将寻址到端口80的所有流量重定向到在端口8888上运行的本地服务。它使用insmod命令启动，以将三个iptables模块插入内核（ip_tables.ko，iptable_filter .ko，iptable_nat.ko），然后执行以下shell命令：

• iptables -I输入-p tcp --dport 8888 -j接受
• iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8888
• 例如：./ssler记录src：192.168.201.0/24 dst：10.0.0.0/16

-A PREROUTING -s 192.168.201.0/24 -d 10.0.0.0/16 -p tcp -m tcp --dport 80 -j REDIRECT-至端口8888

注意事项 为了确保不删除这些规则，ssler会删除它们，并大约每四分钟立即将它们重新添加回去。

到端口80的任何传出Web请求都将被ssler模块拦截，可以在将它们发送到合法HTTP服务之前对其进行分析和修改。 对于所有HTTP请求，将从https传输到http。 在将请求发送到合法的HTTP服务器之前，会对它们进行以下更改：

• 字符串“ https：//”的所有出现都替换为“ http：//”，以将请求从安全HTTP资源转换为对不安全资源的请求，以便提供获取机密数据（例如凭据）的可能性。
• 如果请求包含Connection：keep-alive标头，则将其替换为Connection：close
• 如果请求包含带有gzip值的Accept-Encoding标头，则将其替换为Accept-Encoding：plaintext / none，以防止使用gzip压缩响应（某些文件类型（例如图形文件）有例外）。

如果将主机指定为dump：参数的值，则有关请求的详细信息将保存到磁盘以供攻击者随后进行收集，包括URL，端口和所有请求标头。 如果未将主机指定为dump：参数值，则仅保存具有Authorization标头的请求或包含凭据的URL。 包含凭据的URL由以下条件确定-它们必须包含字符串“ assword =”或“ ass =”以及以下行之一：

• 姓氏=
• ser =
• 阿美=
• ogin =
• ail =
• 磨练=
• 会话％5B用户名
• 会话％5Bpassword
• 会话[密码

包含字符串“ signin”的所有对account.google.com的POST请求也将被保存以供以后收集。

完成上述所有修改后，ssler模块将启动与合法HTTP服务器的连接，并将修改后的请求发送到端口80。然后，ssler模块从HTTP服务器接收响应，并对响应进行以下更改，然后再将响应发送给受害者：

• Location标头中带有https：//的响应将转换为http：//
• 以下字段将被忽略，即 不会转发给客户端：
  
  • Alt-scv
  • 变化
  • 内容MD5
  • 内容安全政策
  • X-FB-调试
  • 仅公开密钥销报告
  • 访问控制允许来源
• 对于整个响应，都执行从https到http的转换-所有出现的https：//都替换为\ x20http：//。
• 如果将域名（或域名的一部分，例如“ google”）指定为site：参数的值，则尝试将JavaScript注入所有Content-Type：text / html或Content-Type：text / javascript响应中。 要求是字符串的存在及其足够的长度，以使hook：参数的值适合其中。 标签将被替换为
  
  所有使用http替换为https的请求的域（即，域包含在链接中）都添加到了经过划分的域的列表中。 ssler模块拦截到此列表中包含的域的后续请求将通过HTTPS（端口443）执行，而不是通过HTTP（端口80）执行。 默认情况下，列表包含四个域，因此ssler模块将始终通过HTTPS（端口443）连接到这些域： www.google.com ，twitter.com， www.facebook.com或www.youtube.com 。
  
  'dstr'（设备故障模块）
  
  dstr模块用于通过删除正常操作所需的文件来禁用受感染的设备。 该模块会在删除系统中的其余文件之前删除与恶意软件操作相关的所有文件和目录，这可能会阻止在调查事件期间检测到恶意软件。
  
  我们对dstr_i586模块进行了详细分析。 该模块首先从磁盘上将其自身移除，然后终止在步骤2中运行的父进程的执行。然后，它搜索名称为vpnfilter，security和tor的所有正在运行的进程，并终止其工作。 然后，它明确删除以下文件和目录：
  
  
  • /var/tmp/client_ca.crt
  • /var/tmp/client.key
  • /var/tmp/client.crt
  • / var /运行/ vpnfilterm / htpx
  • / var /运行/ vpnfilter
  • /var/run/vpn.tmp
  • /var/run/vpn.pid
  • / var /运行/ torc
  • / var / run / tord / hidden_​​ssh / private_key
  • / var /运行/ tord / hidden_​​ssh /主机名
  • / var / run / tor
  • /var/run/msvf.pid
  • /var/run/client_ca.crt
  • /var/run/client.key
  • /var/run/client.crt
  • /var/pckg/mikrotik.o
  • /var/pckg/.mikrotik。
  • /var/msvf.pid
  • /var/client_ca.crt
  • /var/client.key
  • /var/client.crt
  • /tmp/client_ca.crt
  • /tmp/client.key
  • /tmp/client.crt
  • /flash/nova/etc/loader/init.x3
  • / flash / nova / etc / init / security
  • /闪光灯/新星/等/开发登录
  • /flash/mikrotik.o
  • /flash/.mikrotik。
  • / var / run / vpnfilterw /
  • / var / run / vpnfilterm /
  • / var / run / tord / hidden_​​ssh /
  • / var / run / tord /
  • /闪光灯/新星/等/装载机/
  • / flash / nova / etc / init /
  
  dstr模块通过用值0xFF覆盖所有可用设备/ dev / mtdX的字节来刷新设备的闪存。 然后，执行rm -rf / * shell命令，该命令旨在删除文件系统的所有内容，然后设备重新引导。 此时，设备没有任何操作所需的文件，并且设备将无法启动。
  
  对步骤3中操作的数据包嗅探器的进一步研究
  
  'ps'（第3步中的数据包嗅探器）
  
  在第3阶段运行的数据包嗅探器示例之一就是示例R600VPN（Lexra架构，让人联想到MIPS）。 此样本是一个数据包嗅探器，它搜索针对TP-LINK R600-VPN开发的基本身份验证和ICS流量监视的参数。 恶意软件使用原始套接字机制来检测到预定义IP地址的连接，并且仅考虑长度至少为150个字节的TCP数据包（注意：完整数据包的长度是在考虑所有标头的情况下指定的。具体取决于TCP标头的大小） ，可以执行长度为56到96字节的PDU日志记录）。 该嗅探器提供对网络流量的只读访问权，但不能进行修改。 为了实现提供流量修改的功能，将需要进行大量流量修改。
  
  
  
  在传输到除502以外的端口的数据包中，将搜索基本身份验证参数，当检测到基本身份验证参数时，会将其记录下来。
  
  
  • 其他：（非Modbus流量）：收集用于基本HTTP身份验证的凭据
    
    • 收件人IP ==命令行参数
    • 发件人端口> 1024
    • 发件人端口！= 8080
    • 发件人端口！= 8088
    • 数据包长度> 20字节
    • 该软件包不包含以下任何行
      
      <？xml
      基本Og ==
      /tmUnblock.cgi
      需要密码
      <div
      <表格
      <输入
      这个。 和.get
      {
      }
      200 OK
      <跨度
      <跨度
      <Div
      
  • 该软件包包含“授权：基本”或一个用户名/密码组合
    
    
    • 用户名
      
      • 用户=
      • 用户=
      • 名称=
      • 名称=
      • 苏联=
      • usr =
      • 登录=
      • 登录=
    • 密码
      
      • 通过=
      • 通过=
      • 密码=
      • 密码=
      • 密码=
      • passwd =
  • 日志记录：记录与端口502相关的IP地址和端口（但不包括数据包内容），不检查流量是否为Modbus流量。
    
    • Modbus：记录SourceIP，SourcePort，DestinationIP，DestinationPort和标记* modbus *
    • 其他流量：仅当数据包符合基本HTTP身份验证的条件时，才将数据包的全部内容写入日志
  
  

  结论

  
  新的调查结果使我们确信，与VPNFilter恶意软件相关的威胁继续增长。 我们不仅安装了受感染设备的新型号和品牌，而且还发现了与入侵最终设备有关的恶意软件的功能。 因此，此威胁的范围超出了网络设备的范围，并且受感染设备服务的网络也落入其中。 在成功攻击的情况下，攻击者可以部署任何必需的功能模块以实现其目标，包括rootkit，信息提取工具和破坏性恶意软件。
  
  Talos感谢来自世界各地的所有独立研究人员，公司和技术合作伙伴，他们分享了信息并参与了对这一威胁的分析。 您的行为有助于我们对这一恶意活动加深了解，并在某些情况下大大改善了这种情况。 我们深知这是一项团队运动，我们衷心感谢您的帮助。
  
  我们将继续监控VPNFilter，并与合作伙伴一起评估威胁的发展程度，并为我们的客户和社区意识提供可靠的保护。
  
  

  更新的危害指标清单（IOC）

  
  如上所述，我们怀疑还有其他迹象表明我们目前尚不知道该恶意软件的危害和版本。 以下IOC列表反映了我们当前的观点。 新的IOC以粗体显示。
  
  

  已知域和IP地址C2

  
  

  第一阶段相关

  
  photobucket [。] com /用户/ nikkireed11 /库
  photobucket [。] com /用户/ kmila302 /库
  photobucket [。] com /用户/ lisabraun87 /库
  photobucket [。] com /用户/ eva_green1 /库
  photobucket [。] com /用户/ monicabelci4 /库
  photobucket [。] com /用户/ katyperry45 /库
  photobucket [。] com /用户/ saragray1 /库
  photobucket [。] com /用户/ millerfred /库
  photobucket [。] com /用户/ jeniferaniston1 /库
  photobucket [。] com /用户/ amandaseyfried1 /库
  photobucket [。] com /用户/ suwe8 /库
  photobucket [。] com /用户/ bob7301 /库
  toknowall [。] com
  
  

  第二阶段相关

  
  91.121.109 [。] 209
  217.12.202 [。] 40
  94.242.222 [。] 68
  82.118.242 [。] 124
  46.151.209 [。] 33
  217.79.179 [。] 14
  91.214.203 [。] 144
  95.211.198 [。] 231
  195.154.180 [。] 60
  5.149.250 [。] 54
  94.185.80 [。] 82
  62.210.180 [。] 229
  91.200.13 [。] 76
  23.111.177 [。] 114
  
  6b57dcnonk2edf5a [。]洋葱/ bin32 / update.php
  tljmmy4vmkqbdof4 [。]洋葱/ bin32 / update.php
  zuh3vcyskd4gipkm [。]洋葱/ bin32 / update.php
  4seiwn2ur4f65zo4.onion/bin256/update.php
  zm3lznxn27wtzkwa.onion/bin16/update.php
  
  

  已知的文件哈希

  
  

  第一阶段恶意软件

  
  50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
  0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
  b9770ec366271dacdae8f5088218f65a6c0dd82553dd93f41ede586353986124
  51e92ba8dac0f93fc755cb98979d066234260eafc7654088c5be320f431a34fa
  6a76e3e98775b1d86b037b5ee291ccfcffb5a98f66319175f4b54b6c36d2f2bf
  313d29f490619e796057d50ba8f1d4b0b73d4d4c6391cf35baaaace71ea9ac37
  

  第二阶段恶意软件

  
  9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
  d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
  4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
  9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
  37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
  776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
  8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
  0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
  2ffbe27983bc5c6178b2d447d8121cefaa5ffa87fe7b9e4f68272ce54787492f
  1e741ec9452aab85a2f7d8682ef4e553cd74892e629012d903b521b21e3a15bf
  90efcaeac13ef87620bcaaf2260a12895675c74d0820000b3cd152057125d802
  eaf879370387a99e6339377a6149e289655236acc8de88324462dcd0f22383ff
  081e72d96b750a38ef45e74d0176beb982905af4df6b8654ea81768be2f84497
  24b3931e7d0f65f60bbb49e639b2a4c77de83648ff08e097ff0fa6a53f5c7102
  4497af1407d33faa7b41de0c4d0741df439d2e44df1437d8e583737a07ec04a1
  579b2e6290c1f7340795e42d57ba300f96aef035886e80f80cd5d0bb4626b5fc
  eeb3981771e448b7b9536ba5d7cd70330402328a884443a899696a661e4e64e5
  952f46c5618bf53305d22e0eae4be1be79329a78ad7ec34232f2708209b2517c
  e70a8e8b0cd3c59cca8a886caa8b60efb652058f50cc9ff73a90bc55c0dc0866
  5be57b589e5601683218bb89787463ca47ce3b283d8751820d30eee5e231678c
  fe46a19803108381d2e8b5653cc5dce1581a234f91c555bbfff63b289b81a3dc
  ae1353e8efe25b277f52decfab2d656541ffdf7fd10466d3a734658f1bc1187a
  2ef0e5c66f6d46ddef62015ea786b2e2f5a96d94ab9350dd1073d746b6922859
  181408e6ce1a215577c1daa195e0e7dea1fe9b785f9908b4d8e923a2a831fce8
  2aa7bc9961b0478c552daa91976227cfa60c3d4bd8f051e3ca7415ceaeb604ca
  375ededc5c20af22bdc381115d6a8ce2f80db88a5a92ebaa43c723a3d27fb0d6
  0424167da27214cf2be0b04c8855b4cdb969f67998c6b8e719dd45b377e70353
  7e5dca90985a9fac8f115eaacd8e198d1b06367e929597a3decd452aaa99864b
  8de0f244d507b25370394ba158bd4c03a7f24c6627e42d9418fb992a06eb29d8
  7ee215469a7886486a62fea8fa62d3907f59cf9bf5486a5fe3a0da96dabea3f9
  ff70462cb3fc6ddd061fbd775bbc824569f1c09425877174d43f08be360b2b58
  f5d06c52fe4ddca0ebc35fddbbc1f3a406bdaa5527ca831153153b74f51c9f9d1b0
  bc51836048158373e2b2f3cdb98dc3028290e8180a4e460129fef0d96133ea2e
  d9a60a47e142ddd61f6c3324f302b35feeca684a71c09657ddb4901a715bd4c5
  95840bd9a508ce6889d29b61084ec00649c9a19d44a29aedc86e2c34f30c8baf
  3bbdf7019ed35412ce4b10b7621faf42acf604f91e5ee8a903eb58bde15688ff
  9b455619b4cbfeb6496c1246ba9ce0e4ffa6736fd536a0f99686c7e185eb2e22
  bfd028f78b546eda12c0d5d13f70ab27dff32b04df3291fd46814f486ba13693
  a15b871fcb31c032b0e0661a2d3dd39664fa2d7982ff0dbc0796f3e9893aed9a
  d1bc07b962ccc6e3596aa238bb7eda13003ea3ca95be27e8244e485165642548
  eec5cd045f26a7b5d158e8289838b82e4af7cf4fc4b9048eaf185b5186f760db
  29ae3431908c99b0fff70300127f1db635af119ee55cd8854f6d3270b2e3032e
  ca0bb6a819506801fa4805d07ee2ebaa5c29e6f5973148fe25ed6d75089c06a7
  6d8877b17795bb0c69352da59ce8a6bfd7257da30bd0370eed8428fad54f3128
  5cf43c433fa1e253e937224254a63dc7e5ad6c4b3ab7a66ec9db76a268b4deeb
  a6e3831b07ab88f45df9ffac0c34c4452c76541c2acd215de8d0109a32968ace
  f4f0117d2784a3b8dfef4b5cb7f2583dd4100c32f9ee020f16402508e073f0a1
  7093cc81f32c8ce5e138a4af08de6515380f4f23ed470b89e6613be​​e361159e1
  350eaa2310e81220c409f95e6e1e53beadec3cffa3f119f60d0daace35d95437
  776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
  d2de662480783072b82dd4d52ab6c57911a1e84806c229f614b26306d5981d98
  c8a82876beed822226192ea3fe01e3bd1bb0838ab13b24c3a6926bce6d84411b
  f30a0fe494a871bd7d117d41025e8d2e17cd545131e6f27d59b5e65e7ab50d92
  8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
  0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
  2c2412e43f3fd24d766832f0944368d4632c6aa9f5a9610ab39d23e79756e240
  218233cc5ef659df4f5fdabe028ab43bc66451b49a6bfa85a5ed436cfb8dbc32
  cccbf9bff47b3fd391274d322076847a3254c95f95266ef06a3ca8be75549a4b
  ab789a5a10b4c4cd7a0eb92bbfcf2cc50cb53066838a02cfb56a76417de379c5
  4896f0e4bc104f49901c07bc84791c04ad1003d5d265ab7d99fd5f40ec0b327f
  5e715754e9da9ed972050513b4566fb922cd87958ecf472d1d14cd76923ae59a
  797e31c6c34448fbecda10385e9ccfa7239bb823ac8e33a4a7fd1671a89fe0f6
  48bfcbc3162a0b00412cba5eff6c0376e1ae4cfbd6e35c9ea92d2ab961c90342
  7a66d65fa69b857beeeaaef67ec835900eee09a350b6f51f51c83919c9223793
  b0edf66d4f07e5f58b082f5b8479d48fbab3dbe70eba0d7e8254c8d3a5e852ef
  840ba484395e15782f436a7b2e1eec2d4bf5847dfd5d4787ae64f3a5f668ed4f
  80c20db74c54554d9936a627939c3c7ea44316e7670e2f7f5231c0db23bc2114
  5dabbce674b797aaa42052b501fb42b20be74d9ffcb0995d933fbf786c438178
  055bbe33c12a5cdaf50c089a29eaecba2ccf312dfe5e96183b810eb6b95d6c5a
  c084c20c94dbbffed76d911629796744eff9f96d24529b0af1e78cda54cdbf02
  5f6ee521311e166243d3e65d0253d12d1506750c80cd21f6a195be519b5d697f
  fcb6ff6a679ca17d9b36a543b08c42c6d06014d11002c09ba7c38b405b50debe
  a168d561665221f992f51829e0b282eeb213b8aca3a9735dbbaecc4d699f66b9
  98112bd4710e6ffe389a2beb13ff1162017f62a1255c492f29238626e99509f3
  afacb38ea3a3cafe0f8dbd26dee7de3d0b24cdecae280a9b884fbad5ed195de7
  b431aebc2783e72be84af351e9536e8110000c53ebb5db25e89021dc1a83625e
  2b39634dce9e7bb36e338764ef56fd37be6cd0faa07ee3673c6e842115e3ceb1
  11533eedc1143a33c1deae105e1b2b2f295c8445e1879567115adebfdda569e2
  36e3d47f33269bef3e6dd4d497e93ece85de77258768e2fa611137fa0de9a043
  e6c5437e8a23d50d44ee47ad6e7ce67081e7926a034d2ac4c848f98102ddb2f8
  1cb3b3e652275656b3ae824da5fb330cccd8b27892fb29adc96e5f6132b98517
  ec88fe46732d9aa6ba53eed99e4d116b7444afd2a52db988ea82f883f6d30268
  99944ad90c7b35fb6721e2e249b76b3e8412e7f35f6f95d7fd3a5969eaa99f3d
  8505ece4360faf3f454e5b47239f28c48d61c719b521e4e728bc12d951ecf315
  dd88273437031498b485c380968f282d09c9bd2373ef569952bc7496ebadadde
  6e7bbf25ea4e83229f6fa6b2fa0f880dde1594a7bec2aac02ff7d2d19945d036
  f989df3aeede247a29a1f85fc478155b9613d4a416428188eda1a21bd481713a
  4af2f66d7704de6ff017253825801c95f76c28f51f49ee70746896df307cbc29
  ba9fee47dcc7bad8a7473405aabf587e5c8d396d5dd5f6f8f90f0ff48cc6a9ce
  5d94d2b5f856e5a1fc3a3315d3cd03940384103481584b80e9d95e29431f5f7a
  33d6414dcf91b9a665d38faf4ae1f63b7aa4589fe04bdd75999a5e429a53364a
  14984efdd5343c4d51df7c79fd6a2dfd791aa611a751cc5039eb95ba65a18a54
  879be2fa5a50b7239b398d1809e2758c727e584784ba456d8b113fc98b6315a2
  c0cfb87a8faed76a41f39a4b0a35ac6847ffc6ae2235af998ee1b575e055fac2
  fc9594611445de4a0ba30daf60a7e4dec442b2e5d25685e92a875aca2c0112c9
  81cbe57cd80b752386ee707b86f075ad9ab4b3a97f951d118835f0f96b3ae79d
  4e022e4e4ee28ae475921c49763ee620b53bf11c2ad5fffe018ad09c3cb078cc
  a3cf96b65f624c755b46a68e8f50532571cee74b3c6f7e34eecb514a1eb400cf
  ff471a98342bafbab0d341e0db0b3b9569f806d0988a5de0d8560b6729875b3e
  638957e2def5a8fda7e3efefff286e1a81280d520d5f8f23e037c5d74c62553c
  4ffe074ad2365dfb13c1c9ce14a5e635b19acb34a636bae16faf9449fb4a0687
  4c596877fa7bb7ca49fb78036b85f92b581d8f41c5bc1fa38476da9647987416
  49a0e5951dbb1685aaa1a6d2acf362cbf735a786334ca131f6f78a4e4c018ed9
  0dc1e3f36dc4835db978a3175a462aa96de30df3e5031c5d0d8308cdd60cbede
  e74ae353b68a1d0f64b9c8306b2db46dfc760c1d91bfdf05483042d422bff572
  00c9bbc56388e3fffc6e53ef846ad269e7e31d631fe6068ff4dc6c09fb40c48b
  c2bcde93227eb1c150e555e4590156fe59929d3b8534a0e2c5f3b21ede02afa0
  70c271f37dc8c3af22fdcad96d326fe3c71b911a82da31a992c05da1042ac06d
  ffb0e244e0dabbaabf7fedd878923b9b30b487b3e60f4a2cf7c0d7509b6963ba
  dbede977518143bcee6044ed86b8178c6fc9d454fa346c089523eedee637f3be
  4d6cbde39a81f2c62d112118945b5eeb1d73479386c962ed3b03d775e0dccfa0
  fa229cd78c343a7811cf8314febbc355bb9baab05b270e58a3e5d47b68a7fc7d
  4beba775f0e0b757ff32ee86782bf42e997b11b90d5a30e5d65b45662363ece2
  a41da0945ca5b5f56d5a868d64763b3a085b7017e3568e6d49834f11952cb927
  f3d0759dfab3fbf8b6511a4d8b5fc087273a63cbb96517f0583c2cce3ff788b8
  fa4b286eeaf7d74fe8f3fb36d80746e18d2a7f4c034ae6c3fa4c917646a9e147
  be3ddd71a54ec947ba873e3e10f140f807e1ae362fd087d402eff67f6f955467
  6449aaf6a8153a9ccbcef2e2738f1e81c0d06227f5cf4823a6d113568f305d2a
  39dc1aded01daaf01890db56880f665d6cafab3dea0ac523a48aa6d6e6346fff
  01d51b011937433568db646a5fa66e1d25f1321f444319a9fba78fd5efd49445
  099a0b821f77cb4a6e6d4a641ed52ee8fea659ee23b657e6dae75bb8ca3418c3
  4cbf9ecb6ca4f2efed86ba6ebf49436c65afe7ae523ec9dae58e432a9d9a89d0
  66a98ad0256681313053c46375cb5c144c81bf4b206aaa57332eb5f1f7176b8c
  97d00fc2bc5f5c9a56b498cf83b7a801e2c11c056772c5308ee7adea50556309
  9e854d40f22675a0f1534f7c31626fd3b67d5799f8eea4bd2e2d4be187d9e1c7
  a125b3e627ecd04d0dd8295e12405f2590144337481eb21086c4afb337c5b3f2
  a7d154eaee39ff856792d86720a8d193da3d73bfe4ac8364da030d80539e9ac2
  b2dd77af9dd9e8d7d4ebc778f00ff01c53b860a04c4e0b497f2ae74bb8a280c0
  
  

  第三阶段模块

  
  f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
  afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719
  acf32f21ec3955d6116973b3f1a85f19f237880a80cdf584e29f08bd12666999
  47f521bd6be19f823bfd3a72d851d6f3440a6c4cc3d940190bdc9b6dd53a83d6
  d09f88baf33b901cc8a054d86879b81a81c19be45f8e05484376c213f0eedda2
  2af043730b632d237964dd6abd24a7f6db9dc83aab583532a1238b4d4188396b
  4bfc43761e2ddb65fedab520c6a17cc47c0a06eda33d11664f892fcf08995875
  e7f65aeec592b047ac1726ef0d8245229041474a2a71b7386e72ad5db075f582
  cd8cf5e6a40c4e87f6ee40b9732b661a228d87d468a458f6de231dd5e8de3429
  4fa1854fbec31f87ae306034fd01567841159ca7793eba58b90be5f7fc714d62
  bad8a5269e38a2335be0a03857e65ff91620a4d1e5211205d2503ef70017b69c
  d1e6ec5761f78899332b170c4ca7158dccd3463dab2e58e51e5b6c0d58c7d84f
  ff118edb9312c85b0b7ff4af1fc48eb1d8c7c8da3c0e1205c398d2fe4a795f4b
  7f6f7c04826c204e2fc5c1eddb8332afe1669a4856229921c227694899e7ada8
  6807497869d9b4101c335b1688782ab545b0f4526c1e7dd5782c9deb52ee3df4
  ae74f62881eb224e58f3305bb1da4f5cb7ccff53c24ab05db622807d74e934fb
  3df17f01c4850b96b00e90c880fdfabbd11c64a8707d24488485dd12fae8ec85
  8f3e1e3f0890ad40d7fa66939561e20c0e5fd2a02b1dea54f3899aff9c015439
  1367060db50187eca00ad1eb0f4656d3734d1ccea5d2d62f31f21d4f895e0a69
  82cd8467e480bcd2e2fc1efb5257bbe147386f4a7651d1da2bfd0ab05e3d86b9
  94eefb8cf1388e431de95cab6402caa788846b523d493cf8c3a1aa025d6b4809
  9b039787372c6043cce552675e3964bf01de784d1332ddc33e4419609a6889f1
  78fee8982625d125f17cf802d9b597605d02e5ea431e903f7537964883cf5714
  e7aee375215e33fc5aebd7811f58a09c37d23e660f3250d3c95aec48ad01271c
  3bd34426641b149c40263e94dca5610a9ecfcbce69bfdd145dff1b5008402314
  
  

  自签名证书校验和

  
  d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747
  c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851
  f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d
  be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5
  27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302
  110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
  fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f
  b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78
  cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526
  110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8
  909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b
  044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4
  c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
  8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d
  d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806
  c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412
  
  

  被攻击的设备

  
  我们确定下面列出的设备容易受到攻击。 在研究范围内，许多观察是在不物理访问设备的情况下进行的，因此在许多情况下，我们很难确定特定的软件版本和设备型号。
  
  考虑到有关此威胁的信息的累积量，我们认为此列表并不详尽，其他设备可能会受到威胁的威胁。
  
  

  华硕产品：

  
  
  • RT-AC66U ()
  • RT-N10 ()
  • RT-N10E ()
  • RT-N10U ()
  • RT-N56U ()
  • RT-N66U ()
  
  

  D-Link:

  
  
  • DES-1210-08P ()
  • DIR-300 ()
  • DIR-300A ()
  • DSR-250N ()
  • DSR-500N ()
  • DSR-1000 ()
  • DSR-1000N ()
  
  

  Huawei:

  
  
  • HG8245 ()
  
  

  Linksys:

  
  
  • E1200
  • E2500
  • E3000 ()
  • E3200 ()
  • E4200 ()
  • RV082 ()
  • WRVS4400N
  
  

  Mikrotik:

  
  
  • CCR1009 ()
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109 ()
  • CRS112 ()
  • CRS125 ()
  • RB411 ()
  • RB450 ()
  • RB750 ()
  • RB911 ()
  • RB921 ()
  • RB941 ()
  • RB951 ()
  • RB952 ()
  • RB960 ()
  • RB962 ()
  • RB1100 ()
  • RB1200 ()
  • RB2011 ()
  • RB3011 ()
  • RB Groove ()
  • RB Omnitik ()
  • STX5 ()
  
  

  Netgear:

  
  
  • DG834 ()
  • DGN1000 ()
  • DGN2200
  • DGN3500 ()
  • FVS318N ()
  • MBRN3000 ()
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200 ()
  • WNR4000 ()
  • WNDR3700 ()
  • WNDR4000 ()
  • WNDR4300 ()
  • WNDR4300-TN ()
  • UTM50 ()
  
  

  QNAP:

  
  
  • TS251
  • TS439 Pro
  • QNAP QTS
  
  

  TP-Link:

  
  
  • R600VPN
  • TL-WR741ND ()
  • TL-WR841N ()
  
  

  Ubiquiti:

  
  
  • NSM2 ()
  • PBE M5 ()
  
  

  Upvel:

  
  
  • * ()
  
  

  ZTE:

  
  
  • ZXHN H108N ()
  
  * , Upvel, , .