【深度分析】VPNFilter：危及全球工控设备和办公网络的物联网高级威胁

宣布时间 2018-06-17

一、威胁概述

近期，思科Talos团队因情况紧急提前果然了一项未完成的研究，该研究提及了一个可能对全球网络发生重大危害的高级威胁攻击(约莫有50万台设备受到熏染)，由于其核心�？槲募猇PNFilter，故该恶意代码也被命名为”VPNFilter”。该攻击是一起以入侵物联网为载体从事可能由国家提倡的全球性的高级恶意软件攻击，恶意软件通过三个阶段来部署其攻击武器，目前已经有至少50万台设备受到熏染。攻击者利用该恶意软件来控制并监视处于工控网络、办公环境中的网络设备(包罗路由器、网关、防火墙以及其他的物联网设备)，其支持工控网络情报收集、重要敏感的流量(登录凭证)截取、流量改动、定向JS注入、设备破坏性攻击等功效。

恶意软件在5月8日泛起大规模的以乌克兰为主要目标的攻击活动，而且在5月17日乌克兰的受熏染设备泛起大幅度增加，这些受熏染设备均受控于C&C 46.151.209.33, 看起来此次攻击目标似乎瞄准乌克兰。乌克兰电力系统曾经受到过两次黑客攻击，而且导致了停电事故，两次攻击均以持久而隐秘的渗透手段入侵到目标。而这次的攻击活动以物联网入口，利用大量存在漏洞的物联网设备作为载体进行撒网式攻击，而且以惊人的速度熏染了至少50万台设备，其中包罗有华为、中兴、华硕、Dlink、Ubiquiti、UPVEL、Linksys、MikroTik、NETGEAR 和 TP-Link等设备。同样，此次恶意代码与2015年攻击乌克兰电网的BlackEnergy使用相同的变形RC4算法对要害信息进行加密；而且与之类似的是同样也有对主机设备进行重要数据擦除与重启的连环行动以到达让设备无法启动的目的(同时也提高了取证的难度)。

东森平台ADLab发现该预警后对该恶意软件进行了深入的分析，以剖析其实现机制。我们发现该恶意软件中除了接纳图片文件的EXIF数据传输用于下载恶意代码核心组件的C&C外，还接纳HTTP头中的location和direct字段传输该C&C，甚至接纳了一种我们称之为”SYN隧道技术”的高级隐藏技术来实现恶意软件C&C的被动更新，即使如之前所报道那样，FBI阻断了该恶意软件的C&C，该技术也可以让该恶意软件快速复生。其中第三阶段恶意组件专门针对TCP协议进行嗅探处置，不仅对工控modbus SCADA协议进行情报收集，同时还会嗅探基于http协议的登录凭证信息和Authorization信息。该嗅探�？樾枰诳驮冻讨付╩odbus服务器进行精确的监控，以发现所有连接的从机设备。此外，在最近果然的攻击插件�？橹谢箍梢钥闯�，该次攻击可用于广泛的情报收集以及对特定目标进行渗透攻击，其中包罗对80端口的流量重定向、强制转换HTTPS为HTTP以方便流量监控、窃取HTTP请求包中的登录凭证信息、向指定网站的响应数据中注入恶意javascript脚本等等。

二、恶意软件事情原理

该恶意软件通过利用路由器、网关、防火墙等物联网设备漏洞进行广泛的熏染和流传。在熏染设备中，其首先启动一个Loader�？橹葱�，该�？橹饕迪至薞PNFilter组件的下载与执行。Loader�？椴⒉皇侵苯油ü付ǖ南略氐刂防聪略豓PNFilter组件，而是通过多种技术手段来获取VPNFilter的下载地址(存储点)。其首先会向服务器photobucket.com发送请求并实验解析响应数据中的Locaion、direct、图片EXIF信息来获取；如果失败则向服务器taknowall.com发送请求并解析图片的EXIF来获取；如果仍然无法获取到C&C，则会接纳”SYN隧道技术”来获取C&C实现下一个阶段组件的下载地址。此外，VPN存储点获取乐成后，Loader通过内置SSL证书文件来验证下载VPNFilter组件。

VPNFilter组件最后会被下载到”/var/run/”目录下，是该类恶意攻击的核心组件，通过该组件，恶意软件得以驻留在被熏染系统中。VPNFilter组件为攻击者提供了一个用于维护僵尸网络的框架，攻击者可以基于差异的攻击目的加载差异的插件和执行差异远控控制命令。目前所发现的插件�？橛校阂桓鲇糜谥С至拥絋or网络的Tor 客户端（Tor Client,文件tor）；一个为嗅探登录凭证和Modbus工控协议信息的TCP流量嗅探�？椋═CP Traffic Sniffer，文件ps）;一个专门为HTTP 80端口进行流量监控、截取、改动、注入的HTTP 流量监控�？椋℉TTP Traffic Controllor，文件ssler）；以及可用于破坏设备使其无法重启、无法取证的设备破坏�？椋―estroy Module，文件dstr），此外其还存在其他的�？槿纾簃ikrotik.o、torrc、ip_tables.ko、iptable_filter.ko、iptable_nat.ko。

三、恶意软件剖析

凭据该恶意软件执行攻击的步骤，可以将其划分为三个阶段，其中Loader文件为第一个阶段的恶意�？�，VPNFilter文件为第二阶段的恶意�？�，Tor客户端和流量嗅探器为第三阶段的恶意�？椤Ｒ韵路直鸲哉馊鼋锥蔚亩褚獯虢猩钊氲钠饰觥�

第一阶段：熏染设备并下载恶意代码主体执行

第一个阶段的样本可以看作是一个Loader（文件名为msvf），攻击者利用设备漏洞将其落地到设备内存中运行。该Loader主要目的是从C&C服务器上下载第二阶段的恶意组件执行。该Loader差异于以往的物联网恶意代码那样将C&C内置于代码内，而是通过在合法图片网站上下载一张隐藏有C&C地址的图片进行解析，从而得到真实的C&C。而恶意代码为了防止流量追踪，接纳socks5署理、Tor、以及ssl的方式进行该图片的下载。如果图片下载失败，也会接纳极其隐蔽的原始流量数据嗅探的方式来获取C&C。

同时该�？榛故酝夹薷腘VRAM并将自身加入定时任务文件”crontab”中，以到达常驻的目的。一般物联网恶意代码如mirai等没有涉及常驻机制，使得其在设备重启后会消失。

1、两次创建子进程而且启用恶意代码对当前用户组的读写执行权限

第一阶段样本执行后，会fork两次，第一次用于清理进程资源启用读写执行权限。

第二次fork会在子进程中确认进程文件是否存在，如果不存在会进行文件的回写，防止进行文件丢失。

此外在第二次fork的子进程中，恶意代码为了防止自身文件在设备重启后消失，还会将自身文件加入到crontab文件末尾，以实现开启启动、常驻设备的目的。

2、解密证书文件名、图片链接数据等内容

接下来恶意代码会通过变形的RC4算法来解密后续要用到的字符串和数据，变形RC4秘钥为”%^:d”，最新版本已经更新为“g&*kdj$dg0_@@7’x”。

变形RC4的stable数据如下：

最后解密得到如下信息，其中包罗证书文件名、版本号、build信息、图片url等。

解密url：

3、创建ssl证书文件以及恶意代码版本文件

解密完成后，恶意代码会将代码中内嵌的公钥、私钥数据存储在证书文件中。该恶意代码中存放有三个证书数据，其中两个公钥和一个私钥，公钥存储在文件”/var/run/client_ca.crt”和”/var/run/client.crt”中，私钥存储在文件”/var/run/client.key”中。

此外，版本信息0.3.9qa会被写入到文件/var/run/msvf.pid中。

4、下载第二阶段组件

第二阶段的恶意代码下载地址接纳三种方式获取。首先实验从photobucket网站请求C&C，具体凭据如下链接顺序去下载并提取第二阶段恶意代码的服务器地址。

http://photobucket.com/user/nikkireed11/library

http://photobucket.com/user/kmila302/library

http://photobucket.com/user/lisabraun87/library http://photobucket.com/user/katyperry45/library

虽然当前这些链接已经失效，但是通过逆向可以看出，如果请求响应码为302，恶意代码则会从响应数据中的”Location”/”location”参数中提取出第二阶段恶意代码的下载地址。

如果恶意代码请求的响应码为200，则会从请求的响应数据包的HTTP头部中提取”direct”参数的值，作为第二阶段恶意代码下载地址。

如果不存在该值，则会从图片文件中的EXIF域提取经纬度数据并将其转换为第二阶段恶意代码下载的IP地址。下载的图片文件EXIF部门数据类似下图。

处置代码如下：

如果以上情况均失败，恶意代码还会实验请求如下链接，该链接也是一张图片，和上面要领一样从EXIF中提取经纬度并处置得到下载地址：http://taknowall.com/manage/content/update.php 。

如果上面的所有方式都实验后依然无法乐成获取C&C地址，恶意代码会通过链接http://api.ipify.org?format=json获取到当前设备的外网IP地址，然后嗅探当前设备的原始网络流量数据，并试图从这些流量数据中过滤出切合特定格式的网络数据包，如果满足格式要求，便会从该数据中提取出第二阶段恶意代码的下载地址。其中过滤包时需满足如下条件：

(1) 原始数据流长度必须大于0x3D

(2) 数据包必须为TCP包

(3) 数据包的SYN必须被设置

(4) 目的IP必须为当前设备的公网IP

(5) Tcp Option的MSS(Maximum Segment Size) 必须为0c 15 22 2B（实际上为非法MSS）

如果满足以上条件，则从MSS之后的4个字节提取出C&C的IP地址。我们将这种以SYN TCP数据流作为数据传输的技术称为”SYN隧道技术”。利用该种技术来传输C&C地址不仅能够很好隐秘黑客的踪迹(无需在恶意代码逆向或者网络存储点上袒露黑客C&C地址)，而且能够灵活的变换C&C，非常难以被觉察。因此，可以说样本中任何内置C&C或者存储C&C的存储点被处置后，该恶意代码仍然可以受控于黑客。这给执法部门处置该恶意代码带来了巨大挑战。原始流的部门判定代码如下：

如果以上任何一种方式能够乐成获取到下载地址而且下载组件乐成，恶意代码便会直接执行所下载恶意代码，然后退出。下载的第二阶段的恶意代码被生存为文件”/var/vpnfilter”。

第二阶段：控制命令接收、分发、执行

该样本以实现后门控制为目的，其主要用于连接控制端服务器，接收控制命令执行相应的功效控制。样本首先为了确保运行实体的唯一性，会绑定1386端口。如果该端口被占用便会终止运行。此外在新版本中不再通过这种容易自我袒露的方式来做唯一性判定，而且添加了自我删除的功效。

如果绑定乐成，便会进入核心事情代码中执行。首先为了防止因CPU资源不足、平台兼容性等问题导致无法事情或者退出，其还注册了大量异常信号用于自我复生。

然后接纳同样的变形RC4算法和秘钥来解密要害字符串以供后续使用。接下来会完成后续安装配置流程。

首先检测ssl证书文件是否存在，如果不存在，其会处于期待状态，直到证书文件安装完成。否则开始配置事情目录、设置署理地址、设置Tor网络地址、获取外网IP地址、MAC地址、网络名称等信息。下图为部门安装信息。

接下来创建事情目录/var/run/xxm/及/var/run/xxw并开启主循环，向控制端请求控制命令而且执行相应的控制功效。

控制命令的请求有两种方式，一种是通过socks5署理方式，一种是通过Tor网络请求。通过socks5署理请求的C&C地址如下(在新版本中91.121.109.209被移除)：

91.121.109.209

217.12.202.40

94.242.222.68

通过Tor网络请求的地址如下（在新版本中”zuh3vcyskd4gipkm.onion/bin32/update.php”被移除）：

6b57dcnonk2edf5a.onion/bin32/update.php

zuh3vcyskd4gipkm.onion/bin32/update.php

tljmmy4vmkqbdof4.onion/bin32/update.php

这两种方式的请求都是通过ssl协议进行的。请求完成后，恶意代码解析相应数据而且提取出控制命令和控制参数信息。其实现的远程控制命令和控制参数信息如下：

从该后门实现的远程控制功效我们可以推测该黑客的动机：

(1) 和其他后门一样，黑客希望能够通过远程shell命令对设备进行完全的控制。

(2) 黑客可以在一定时机对这些设备进行破坏性操作，使其无法再次使用。

(3) 为了隐藏其可疑的控制流量，接纳socks5和Tor逃避IDS监测。

(4) 可以灵活的配置其在Tor网络中的C&C服务器以及署理服务器

(5) 能提供扩展�？榈南略赜胫葱械牟僮鳌�

(6) 可灵活配置连接C&C的频率，提高其活动的隐蔽性。

此外，该阶段的最新恶意代码有较大的变化，不仅对代码做了优化、去除了日志信息，还改变了部门控制命令的功效，好比kill命令用于结束进程及清理其下载的插件，新增加了update命令和restart命令。不言而喻，update命令用于更新样本，restart命令用于重启样本执行。同时移除了seturl、proxy命令。

第三阶段：扩展组件

第三阶段目前已经发现大量的组件，其中包罗一个为MIPS平台的流量嗅探器、一个用于破坏设备的dstr�？椤⒁桓鲇糜诮泄惴篐TTP流量嗅探和监控的ssler�？�，还有一些辅助性�？槿纾篢or client、mikrotik.o、torrc、ip_tables.ko、iptable_filter.ko、iptable_nat.ko等。辅助性�？槿鏣or客户端用于支持第二阶段的Tor网络通信。Tor工程提示：

由于其为尺度的Tor客户端，不具备恶意功效，因此我们仅仅分析核心的三个�？椤�

1、MIPS平台的TCP流量嗅探�？�

该�？槲狹IPS平台，其主要通过从原始数据包中过滤出TCP/IP数据包，而且通过对TCP的payload数据进行过滤，检索其中的敏感信息存储起来。

该流量嗅探�？橥ü诙锥味褚獯朐冻滔略夭⑵舳葱�，其启动运行参数如下：

{�？槊鹽 DstDir Unkownagr ModbusServer

其中第一个参数为嗅探数据的存放路径，第二个参数未使用，第三个参数为modbus server的IP地址。

该�？槠舳蟛⒚挥凶龉嗵乇鸬氖虑�，初始化环境后直接调用流量截取函数进行流量嗅探。

同样二进制法式中不带任何符号文件，函数由我们分析完后进行了重命名。该函数主要创建一个原始socket而且接收当前设备所通过的原始数据流。

接下来恶意代码会凭据TCP/IP头部格式识别出TCP数据包以进行进一步的处置。

首先该�？橹惶逄莅ざ却笥�0x96个字节的原始流数据，也就是说除去TCP/IP协议头部的长度的0x36个字节，该�？榻鼋黾嗍哟笥�0x60个字节的TCP payload数据。

对于TCP payload数据大于0x60个字节的数据包，该�？榛峤馕鯥P、TCP协议，而且通过目的端口502判定当前流量数据是否是工控的modbus TCP协议包，如果是，且当前数据包的目的IP为运行参数中指定的IP地址，该�？楸慊峤檬莅械脑碔P、目的IP、源端口、目的端口记录下来。

其中记录的信息格式如下：

*modbus*

源IP:源端口->目的IP:目的端口(如：192.168.1.5:2243->192.168.1.3:503)

该信息记录在文件%workdir%/rep_[time].bin。

如果当前协议不是modbus协议，该�？榛崞揪菀延械墓嬖蚪泄�，找出其体贴的两类数据：一种为携带有验证信息HTTP数据包，一种是携带有登录信息的HTTP请求数据。其中提取验证数据的要害字为"Authorization: Basic”，一旦找到该信息，该�？榛峤鼻靶崽降降氖莅苯蛹锹嫉轿募�%workdir%/rep_[%time%].bin中。

提取登录信息的要害字如下：

用户名要害字："User="、"user="、"Name="、"name="、"Usr="、"usr="、"Login="、"login="

登录密码要害字："Pass="、"pass="、"Password="、"password="、"Passwd="、"passwd="

此外要说明的是，数据包中只要满足如下条件，该�？楸慊崤灼�

(1) 数据包的目的IP为�？樵诵胁问付ǖ腎P。

(2) 数据包的源端口小于1024。

(3) 数据包的源端口为8080/8088。

(4) TCP payload数据长度小于0x14。

(5) TCP Payload数据包中包罗有"<?xml"、">"、"Basic Og=="、"/tmUnblock.cgi"、"Password required"、"<div”、"<form"、"<input"、"{"、"}"、"200 OK"、".get"、"<span "、"<SPAN "、"<DIV "等。

2、ssler HTTP嗅探与监控�？�

该�？橹饕攵訦TTP层实施越发富厚和强大的处置，其提供有HTTP流量重定向、HTTP流量监控与截取、流量劫持与改动、定向注入JS以进行精准攻击等功效。其由第二阶段的恶意�？槠舳诵�，运行参数说明如下：

首先该�？榛崾褂胕nsmod命令安装三个iptable相关的内核�？� (ip_tables.ko、iptable_filter.ko、 iptable_nat.ko)，通过这三个�？�，恶意代码可以将自己的规则配置到iptable中去。

接下来执行如下命令将所有80端口的流量重定向到其所监听的8888端口上：

iptables -I INPUT -p tcp --dport 8888 -j ACCEPT

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8888

为了保证该规则不会被删除，该�？榛崦扛�5分钟更新一次该规则。

该�？榛峁刈⑺�80端口上的数据，包罗流向服务器端和流向客户端的数据。在处置流向服务器端的数据时，为了最大化的监控到敏感数据，其会对HTTP请求的数据进行一定改动。在处置流向客户端的响应数据时，同样会对数据进行改动而且凭据启动参数的指定来对特定目标实施精准的JS注入，入侵到具体客户端主机上，也可以是内网的办公主机上。

（1）对请求数据的处置

首先，该�？槲四芄蛔畲笙薅鹊募嗫氐搅髁�，其会将所有请求数据的"https://"改动为"http://"。为了确保HTTP传输的数据都为可处置数据，会修改”Accept-Encoding”的值，以及修改Connection的方式，具体处置方式如下：

i. 将请求数据中的所有https改动为http，以方便监控并窃取敏感信息，如登录凭证等。

ii. 如果HTTP请求中包罗有”Connection: keep-alive”，将会被替换为”Connection: close”。

iii. 如果HTTP请求中,HTTP头中包罗有gzip值的”Accept-Encoding”头部域(排除url为jpg、jpeg、png、gif、css、js、ttf、woff文件)，其将会转化为”Accept-Encoding: plaintext/none”，这样请求得到的数据便不会被服务器端压缩。

随后，该组件可对截取的流量进行过滤并将相关数据生存到设备中。首先如果”dump:domain”参数被指定，http请求的url、port、http header都市生存在指定的文件中。如果在dump参数中没有指定具体值(domain字符串为空)或者dump参数没有指定时，其会dump包罗有特定信息http请求信息。其通过URL来判定当前请求是否是其体贴的请求，如果URL中包罗有要害字：

”sername=”、”ser=”、”ame=”、”ogin=”、”ail=”、”hone=”、”session%5Busername”、”session%5Bpassword”、”session[password”便会dump请求的头部信息到指定的文件中。

另外，对accounts.google.com发送的POST请求，只要其中包罗有字符串”signin”,都市被dump下来。

（2）对响应信息的处置

所有HTTP请求得到的响应数据都市被处置，其处置方式如下：

i. 响应信息中Location的值如果是”https://”，则被替换为http://。

ii. 如果响应头部中包罗有Alt-Scv、Vary、Content-MD5、content-security-policy、X-FB-Debug、public-key-pins-report-only、Access-Control-Allow-Origin，便会被阻断，也就是说，请求方无法得到响应。

iii. Dump所有请求包的数据到当地，其中包罗https://和http://。

iv. 如果参数”site:domain”指定了域名要害字或者域名的一部门，其会将一段javascript脚本注入到所有包罗有的”Content-Type: text/html” 或者”Content-Type: text/javascript”响应数据的msgbody中。其注入要领：首先响应的msgbody数据中必须包罗字符串”<meta name= … >”而且长度必须大于参数”hook:”所指定的字符串长度。如果满足条件，字符串”<meta name= … >”将会被替换成为”<script type="text/javascript" src="[hook value]">”，当前受害者IP及其访问的网站域名将会加入到内部的一个白名单中，以防止重复注入，白名单每4天会被清空一次。

在响应数据中，恶意�？榛崽崛∶扛隽唇又械挠蛎�，而且将其加入到截取列表中，这个截取列表中所有的https和http请求都市凭据“（1）对请求数据的处置”的方式进行处置。默认情况下包罗有 www.google.com、 twitter.com、 www.facebook.com、www.youtube.com。

3、设备破坏�？椋―estroy module）

由于老版本的第二阶段�？榈ゴ康闹皇羌虻ゲ脸璞竚tdblock0的前5000个字节以破坏设备，有很大几率会失败，因此新版本的第二阶段�？榻玨ill指令的破坏性功效取消，并接纳插件�？榈姆绞嚼词迪帧８貌寮？椴唤龈镄铝似苹瞪璞腹π�，而且还提供了痕迹清理的功效。其目的不仅让设备无法恢复，而且即便恢复了也无法取证获取恶意代码相关痕迹。

�？槠舳笫紫壬境陨砦募�，然后强制关闭所有包罗"vpnfilter"、"security"、"tor"要害字的进程。

接下来清理掉所有痕迹文件，其中包罗有证书文件、Tor客户端相关文件、版本信息文件等。

该�？榛够岜槔鷐td分区，并强制擦除整个FLASH。

最后，其接纳”"rm -rf /*"”强制递归删除文件系统上的所有文件，并重启设备。

四、总结

通过分析我们可以看出，该恶意代码攻击手法隐秘高明，其不仅接纳署理+Tor+SSL的方式以逃避网络流量的监测，而且还有多重计谋用于确保核心组件(第二阶段恶意代码)的乐成下发。首先接纳了HTTP的方式将C&C存放于”direct”或者”location”字段中，如果这种方式被阻断则接纳图片隐写技术将C&C存储于EXIF中，如果存储C&C的图片链接失效，其还在代码中留了一个”SYN”后门，通过”SYN隧道技术”来传输C&C。这种可以说是黑客接纳的一种较为高明且非常保险的计谋，为其行动在被发现甚至是被阻断后设置了多重保险，也便于在黑客发现被阻断后进行快速切换，极大地提高了其控制的持久性和灵活性。

我们还可以看到，迅猛生长的物联网设备也开始酿成高级威胁组织的一类攻击向量，其试图通过这些设备来收集情报，包罗登录凭证以及工控设施相关的重要信息，通过灵活的�？榛芄�，可凭据相关情报对特定主机实施精准攻击或者对大量设备实施极具破坏性的攻击，其危害性非常之大。

建议厂商将检测规则（Talos已经果然了100多条snort规则）加入到流量检测设备中，如果支持原始流量检测，也可利用“SYN隧道技术”中的特征进行越发深度和精确的检测。一旦发现受熏染设备，建议接纳应急计谋对设备进行处置（好比对设备进行断网而且复位恢复到出厂模式、更新最新固件），同时进一步检查内网主机是否有被攻击并请专业人士进行处置。

IOC:

第一阶段涉及的相关URL:

photobucket[.]com/user/nikkireed11/library

photobucket[.]com/user/kmila302/library

photobucket[.]com/user/lisabraun87/library

photobucket[.]com/user/eva_green1/library

photobucket[.]com/user/monicabelci4/library

photobucket[.]com/user/katyperry45/library

photobucket[.]com/user/saragray1/library

photobucket[.]com/user/millerfred/library

photobucket[.]com/user/jeniferaniston1/library

photobucket[.]com/user/amandaseyfried1/library

photobucket[.]com/user/suwe8/library

photobucket[.]com/user/bob7301/library

toknowall[.]com

第二阶段涉及的相关IP及链接：

91.121.109[.]209

217.12.202[.]40

94.242.222[.]68

82.118.242[.]124

46.151.209[.]33

217.79.179[.]14

91.214.203[.]144

95.211.198[.]231

195.154.180[.]60

5.149.250[.]54

91.200.13[.]76

94.185.80[.]82

62.210.180[.]229

91.200.13[.]76

23.111.177[.]114

6b57dcnonk2edf5a[.]onion/bin32/update.php

tljmmy4vmkqbdof4[.]onion/bin32/update.php

zuh3vcyskd4gipkm[.]onion/bin32/update.php

4seiwn2ur4f65zo4.onion/bin256/update.php

zm3lznxn27wtzkwa.onion/bin16/update.php

最新受熏染的设备如下：

参考链接：

https://blog[.]talosintelligence.com/2018/05/VPNFilter.html

https://blog.talosintelligence.com/2018/06/vpnfilter-update.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

【深度分析】VPNFilter：危及全球工控设备和办公网络的物联网高级威胁

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线