安全公司FireEye前两天刚刚发布报告称在四个国家的14台思科路由器上发现SYNful Knock后门程序,现在又发现79台路由器存在相同后门。
SYNful Knock 后门程序
安全研究人员为进一步调查受感染设备而对所有IPv4地址进行了扫描,这个被称为SYNful Knock的后门应用程序,在收到一串特别的、不合标准的网络数据包硬编码密码之后,后门被激活。通过向每一个网络地址发送无序TCP数据包而非密码便可监视应答,因此研究者发现了那些被感染的后门。
本周二,当FireEye第一次曝出SYNful Knock的活动时,震惊了整个安全世界。植入的后门完全与合法思科路由器映像大小相同,同时在每次路由器重启时都会加载。它可支持高达100个模块,攻击者能够根据特定目标加载不同功能的模块。
在首次披露中,FireEye发现它在印度、墨西哥、菲律宾和乌克兰的服务器上出现,共计14台。这一惊人发现说明了一直以来偏向理论化的攻击形式正逐步被积极运用。
而最新的研究结果显示受害范围其实远远不止四国,还包括美国、加拿大、英国、德国以及中国在内的19个国家。
研究人员写道:
这一后门可通过指纹识别,我们便使用修改过的ZMap扫描工具发送特制的TCP SYN数据包,扫描了所有公共IPv4地址。在9月15日扫描的4个公共IPv4地址空间,发现了79台主机存在与SYNful Knock后门相符的行为。这些路由器分布于19个国家的一系列机构中。值得注意的是,相比较IP地址的分配,非洲和亚洲植入后门的路由器数量惊人。而25台受影响的美国路由器,都属于同一个东海岸的网络服务器供应商。而受影响的德国和黎巴嫩路由器供应商,同时也向非洲提供服务。
如何发现SYNful Knock后门
上图便概括了本次研究结果;FireEye研究人员在博客中详细解释了如何检测SNYful Knock后门。
研究人员使用网络扫描工具Zmap进行了四次扫描。配置之后,便开始向每个地址发送设置为0xC123D和0的数据包,等待哪些响应序列号设置是0,紧急标志并没有设置,紧急指针设置为0×0001。
“我们没有用一个ACK数据包进行响应,而是发送RST。这并非利用漏洞进行登录或者完成握手。这只是为了让我们找出受感染的路由器。因为没有植入后门的路由器并未设置紧急指针,并且只有1/232的概率选择0作为序列号。”
目前可以确定的是SYNful Knock是一个经过专业开发并且功能完备的后门,可以影响的设备远超FireEye此前的声称的数量。尽管受影响的设备中肯定有用于科学研究的蜜罐,用于帮助研究者寻找真正的幕后黑手以及发现后门是如何在路由器背后进行运作的。但是79台设备都是诱饵的话,则似乎不太可能。目前FireEye没有对这种可能性做出回应。
目前尚没有证据显示SYNful Knock后门利用了思科路由器中任何漏洞,FireEye高管表示这个后门背后的攻击者——可能是有政府背景——似乎是利用了厂商设置的路由器默认密码或者某种其他已知的攻击方式。
研究者说,如果其他制造商的网络设备感染了相似后门,一点都不奇怪。尽管截至目前,没有证据表明来自其他制造商的设备可以感染这一后门,但是随着研究人员扫描工作的持续进行,获得支持这一理论的数据也只是时间问题。
解决方法
如果确定设备受到感染,最有效的缓解方法就是使用思科的干净下载重新映像路由器。确定新映像的哈希值匹配,然后加固设备防止未来的攻击。一定要更新设置、不要采用默认的,在确定路由器没有受感染之后,也要关注其他网络的安全。如果路由器没有默认凭证,那么感染便是已经发生了,下一步需要做的便是影响评估。
作者:哆啦A梦
来源:51CTO