Re: [情報] 全球有50萬以上路由器被殭屍網路綁架,FB
原po內容大多來自Cisco的第一份分析
這是Cisco的第二份分析,裡面有追加機種
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html?m=1
以及SOPHOS的分析
https://news.sophos.com/en-us/2018/05/27/vpnfilter-botnet-a-sophoslabs-analysis-part-2/
大略看了一下
1. 一堆迂迴方法到一些網址更新
2. 即使所有網址都被封了,也會設定排程,在某時間偷偷開後門,等著被掃描然後更新
3. 偷塞憑證監聽https加密
4. 擁有自殺指令
5. 能讀取MTD目前沒作用,但這表示可以自我刷機或把路由器清零掛了它
6. 還沒人找到它到底是怎麼感染的
7. Cisco的名單中有ac66u,Asus大多主流機種韌體都是跟這同模型,所以…
8. SOPHOS的第一個樣本來自於臺灣XD,臺灣是第一梯隊XD
9. 由於排程會寫進nvram,所以更新韌體後要清除nvram回覆出廠設定才能保證乾淨
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.61.85
※ 文章網址: https://www.ptt.cc/bbs/Broad_Band/M.1529062568.A.2D5.html
推
06/15 20:55,
8年前
, 1F
06/15 20:55, 1F
→
06/15 21:18,
8年前
, 2F
06/15 21:18, 2F
→
06/15 21:18,
8年前
, 3F
06/15 21:18, 3F
推
06/15 23:40,
8年前
, 4F
06/15 23:40, 4F
→
06/15 23:40,
8年前
, 5F
06/15 23:40, 5F
→
06/15 23:40,
8年前
, 6F
06/15 23:40, 6F
推
06/15 23:45,
8年前
, 7F
06/15 23:45, 7F
→
06/15 23:45,
8年前
, 8F
06/15 23:45, 8F
推
06/15 23:48,
8年前
, 9F
06/15 23:48, 9F
→
06/15 23:49,
8年前
, 10F
06/15 23:49, 10F
→
06/15 23:49,
8年前
, 11F
06/15 23:49, 11F
推
06/15 23:50,
8年前
, 12F
06/15 23:50, 12F

→
06/15 23:51,
8年前
, 13F
06/15 23:51, 13F
→
06/15 23:51,
8年前
, 14F
06/15 23:51, 14F
推
06/15 23:59,
8年前
, 15F
06/15 23:59, 15F
→
06/15 23:59,
8年前
, 16F
06/15 23:59, 16F
→
06/15 23:59,
8年前
, 17F
06/15 23:59, 17F
→
06/15 23:59,
8年前
, 18F
06/15 23:59, 18F
推
06/16 00:12,
8年前
, 19F
06/16 00:12, 19F
→
06/16 02:42,
8年前
, 20F
06/16 02:42, 20F
→
06/16 12:29,
8年前
, 21F
06/16 12:29, 21F

→
06/16 12:32,
8年前
, 22F
06/16 12:32, 22F
需要,寫的不清楚編輯一下
→
06/16 12:33,
8年前
, 23F
06/16 12:33, 23F
推
06/16 12:36,
8年前
, 24F
06/16 12:36, 24F
→
06/16 12:38,
8年前
, 25F
06/16 12:38, 25F
→
06/16 12:38,
8年前
, 26F
06/16 12:38, 26F
→
06/16 12:40,
8年前
, 27F
06/16 12:40, 27F
※ 編輯: trtxty01 (114.32.39.108), 06/16/2018 17:00:21
※ 編輯: trtxty01 (114.32.39.108), 06/16/2018 17:01:13
→
06/16 17:23,
8年前
, 28F
06/16 17:23, 28F
討論串 (同標題文章)
完整討論串 (本文為第 2 之 3 篇):
Broad_Band 近期熱門文章
PTT數位生活區 即時熱門文章