国外媒体报道称,最近关于攻击思科系统路由器的事件相较过去又多了很多。据说目前19个国家至少79台设备受到安全威胁影响,其中还包括了美国的一家ISP网络服务提供商,旗下25台设备都存在恶意后门。

澳门新葡萄京官网首页 1

安全公司FireEye前两天刚刚发布报告称在四个国家的14台思科路由器上发现SYNful
Knock后门程序,现在又发现79台路由器存在相同后门。

9月21日报道,据国外媒体消息称,针对思科路由器的秘密攻击其实比之前媒体报道的情况更活跃,至少有19个国家的79台路由器受到了感染,其中包括美国一家互联网服务供应商拥有的25台路由器,中国则被发现有3台路由器受到了感染。


次的调查结果来自一个计算机科学家团队,他们挖掘了整个IPv4地址空间中受影响的设备。根据Ars本周二的报道,在收到一系列非正常不兼容的网络数据
包,以及硬编码密码之后,所谓的SYNful
Knock路由器植入就会激活。通过仅发送序列错乱的TCP包,而非密码至每个地址,监控回应,研究人员就能检测到设备是否受到了该后门的影响。

澳门新葡萄京官网首页 2

澳门新葡萄京官网首页 3

安 全公司FireEye本周二首度报道了SYNful
Knock的爆发,这种植入程序在尺寸上和正常的思科路由器映像完全相同,在路由器重启之后每次都会加载。攻击者能够利用它锁定特定目标。FireEye
已经在印度、墨西哥、菲律宾、乌克兰的14台服务器上发现了这种植入程序。这对整个安全界来说都是重大事件,这也就意味着这种攻击处在激活状态。最新的研
究显示,其扩张范围已经相当广泛,美国、加拿大、英国、德国和中国均已存在。

SYNful Knock 后门程序

这一结果是由一群计算机科学家发现的,他们对整个IPv4地址空间进行了清查,希望找出所有被感染的设备。

研究人员表示:“这种植入攻击可以追踪,我们通过修改ZMap 令其发出特定的TCP
SYN包,在无需利用该漏洞的情况下能够检测受影响的服务器。我们在2015年9月15日完成了四次公众IPv4地址空间的扫描,发现79台设备存在
SYNful
Knock植入。这些路由器来自19个不同的国家。我们注意到非洲和亚洲的不少路由器,美国来自一家东海岸的运营商的25台设备,以及德国和黎巴嫩属于一
家卫星服务提供商(提供覆盖非洲的服务)的部分设备受到影响。”

安全研究人员为进一步调查受感染设备而对所有IPv4地址进行了扫描,这个被称为SYNful
Knock的后门应用程序,在收到一串特别的、不合标准的网络数据包硬编码密码之后,后门被激活。通过向每一个网络地址发送无序TCP数据包而非密码便可监视应答,因此研究者发现了那些被感染的后门。

根据Ars周二的报道,所谓的SNYful
Knock路由器植入体是在路由器先后接到一个硬编码密码和一串不同寻常的非相容型网络数据包之后被激活的。科学家们向每一个互联网地址发送失序TCP数据包而不发送密码,然后监控对方反馈的数据,据此检测出哪些路由器受到了后门程序的感染。

上面这张图给出了大致上存在本次安全威胁的分部情况,FireEye的研究人员已经发出了一篇详细的博文,阐述如何检测和移除SYNful
Knock安全威胁。

本周二,当FireEye第一次曝出SYNful
Knock的活动时,震惊了整个安全世界。植入的后门完全与合法思科路由器映像大小相同,同时在每次路由器重启时都会加载。它可支持高达100个模块,攻击者能够根据特定目标加载不同功能的模块。

安全公司FireEye在本周二率先报告了SNYful
Knock后门程序爆发的消息。植入物的大小与合法思科路由器镜像完全一样,而且它会在路由器每次重启时自动加载。它最多支持100个模块,供攻击者在针对特定目标发动攻击时使用。FireEye在印度、墨西哥、菲律宾和乌克兰等地的一共14台服务器上发现了这个后门程序的踪影。

目前已经很清楚,SYNful
Knock是经过专业开发、完全利用了后门的设备,能够影响诸多核心设备。安全研究人员正在寻找背后攻击及其运作方式的线索。

在首次披露中,FireEye发现它在印度、墨西哥、菲律宾和乌克兰的服务器上出现,共计14台。这一惊人发现说明了一直以来偏向理论化的攻击形式正逐步被积极运用。

这是一项重大发现,因为它表明理论化的攻击实际上早就被积极启用了。最新研究表明,这种后门程序正在被更广泛地使用,研究人员已经在包括美国、加拿大、英国、德国和中国在内的很多国家发现了它的存在。

FireEye 本周二报道称,没有证据表明SYNful
Knock正在利用任何思科设备的漏洞,FireEye高层认为,背后的攻击者可能受到了国家支持,这些攻击者想要利用已知密码(有些是出厂默认的,有些
是通过一些手段获取的)的路由器。研究人员表示,如果其他设备制造商造的网络设备也受到了类似后门的感染,那也算不上奇怪。不过目前还没有发现其他品牌的
设备受到影响,但研究人员还在进行进一步的互联网检测。

而最新的研究结果显示受害范围其实远远不止四国,还包括美国、加拿大、英国、德国以及中国在内的19个国家。

FireEye公司的研究人员发表了一篇内容详尽的文章来解释如何检测和清除SNYful
Knock后门程序。

转自:    

研究人员写道:

澳门新葡萄京官网首页 4

这一后门可通过指纹识别,我们便使用修改过的ZMap扫描工具发送特制的TCP
SYN数据包,扫描了所有公共IPv4地址。在9月15日扫描的4个公共IPv4地址空间,发现了79台主机存在与SYNful
Knock后门相符的行为。这些路由器分布于19个国家的一系列机构中。值得注意的是,相比较IP地址的分配,非洲和亚洲植入后门的路由器数量惊人。而25台受影响的美国路由器,都属于同一个东海岸的网络服务器供应商。而受影响的德国和黎巴嫩路由器供应商,同时也向非洲提供服务。

研究员们周二利用一款名为ZMap的互联网扫描程序进行了4次扫描,在向每一个互联网地址发送了带有0xC123D数字编码的失序数据包和被设定为0的确认数字码之后,他们对反馈信息进行了监控,找出了序列数字被设置为0,紧急标志被复原和紧急指针被设置为0x0001的反馈信息对应的地址。

如何发现SYNful Knock后门

研究员们说:“我们没有回应ACK数据包,而是发送了一个RST数据包,关闭了连接。这不会激发漏洞,尝试登录或完成通讯握手。然而,这可以让我们将被植入了恶意后门程序的路由器与没有被植入后门程序的路由器区分开来,因为没有被植入过后门程序的路由器不会去设置紧急指针,而且只有二分之一的概率选择以0作为序列数字。”

澳门新葡萄京官网首页 5

现在可以肯定的是,SYNful
Knock是一种由专业人士开发的、功能齐备的后门程序,感染了这种恶意程序的路由器几乎肯定会积极地去感染更多的设备。幸好科学家们监视的很多设备都是蜜罐诱捕系统。

上图便概括了本次研究结果;FireEye研究人员在博客中详细解释了如何检测SNYful
Knock后门。

所谓蜜罐诱捕系统指的是安全研究员们为了寻找攻击背后的线索和攻击的执行方式而故意感染的路由器设备。FireEye报告中提到的已经受到感染的79台设备不大可能都是诱捕设备。

研究人员使用网络扫描工具Zmap进行了四次扫描。配置之后,便开始向每个地址发送设置为0xC123D和0的数据包,等待哪些响应序列号设置是0,紧急标志并没有设置,紧急指针设置为0×0001。

据FireEye周二报告称,目前尚无证据表明SYNful
Knock利用了思科路由器中的漏洞。据FireEye的高管称,这种植入物背后的匿名攻击者可能得到了国家级别的资助。

“我们没有用一个ACK数据包进行响应,而是发送RST。这并非利用漏洞进行登录或者完成握手。这只是为了让我们找出受感染的路由器。因为没有植入后门的路由器并未设置紧急指针,并且只有1/232的概率选择0作为序列号。”

研究员们表示,如果其他厂商的连网设备也受到了类似后门程序的感染,那并不会令人感到意外。到目前为止,还没有发现其他厂商的设备受到感染的证据,但是研究员们将继续扫描互联网,也许会发现证明这一理念的正确性的证据。

目前可以确定的是SYNful
Knock是一个经过专业开发并且功能完备的后门,可以影响的设备远超FireEye此前的声称的数量。尽管受影响的设备中肯定有用于科学研究的蜜罐,用于帮助研究者寻找真正的幕后黑手以及发现后门是如何在路由器背后进行运作的。但是79台设备都是诱饵的话,则似乎不太可能。目前FireEye没有对这种可能性做出回应。

【编辑推荐】

目前尚没有证据显示SYNful
Knock后门利用了思科路由器中任何漏洞,FireEye高管表示这个后门背后的攻击者——可能是有政府背景——似乎是利用了厂商设置的路由器默认密码或者某种其他已知的攻击方式。

研究者说,如果其他制造商的网络设备感染了相似后门,一点都不奇怪。尽管截至目前,没有证据表明来自其他制造商的设备可以感染这一后门,但是随着研究人员扫描工作的持续进行,获得支持这一理论的数据也只是时间问题。

解决方法

如果确定设备受到感染,最有效的缓解方法就是使用思科的干净下载重新映像路由器。确定新映像的哈希值匹配,然后加固设备防止未来的攻击。一定要更新设置、不要采用默认的,在确定路由器没有受感染之后,也要关注其他网络的安全。如果路由器没有默认凭证,那么感染便是已经发生了,下一步需要做的便是影响评估。

【编辑推荐】