思科路由器在至少4个国家受到高度隐秘后门感染

研究人员已经发现了活跃且高度秘密的攻击,这些攻击通过后门感染了十几台Cisco路由器,这些后门可以用来在目标网络中获得永久立足点。安全公司FireEye的研究人员在周二上午发表的一份报告中写道,

在乌克兰、菲律宾、墨西哥和印度等四个国家的14台路由器上发现了SYNful plack恶意软件,该恶意软件可能被用来感染目标网络的其他部分。每次设备通电时都会加载恶意路由器植入,最多可支持100个模块,这些模块可针对单个目标进行定制。思科系统公司官员证实了这一发现,并公布了入侵检测签名,客户可以使用这些签名来阻止正在进行的攻击。FireEye研究人员在周二的文章中写道:“

在你的网络上发现这种植入体的影响非常严重,很可能表明存在其他立足点或受损的系统”。此后门为攻击者提供了大量传播和危害其他主机和关键数据的能力,将此作为非常隐蔽的滩头阵地。

初始感染似乎没有利用思科设备中的任何漏洞。相反,攻击者似乎在利用路由器,这些路由器使用的密码是出厂默认密码或以某种方式已知的密码。详细的火眼报告是在思科警告客户一系列完全劫持关键网络设备的攻击五周后发布的。Cisco说,这些攻击通过替换用于引导Cisco设备的有效ROM监视器或固件映像来起作用。

FireEye报告没有提供有关14台受感染路由器所属组织的详细信息,也没有说明攻击背后的人是为国家支持的间谍机构工作,还是为经济利益驱使的犯罪组织工作。FireEye CEO Dave DeWalt在接受路透社采访时说:「这项壮举只能由少数民族国家的演员获得。无论如何,毫无疑问,这些设备被专业开发的功能齐全的后门感染了。研究人员写道:

植入摘要植入由修改后的Cisco IOS映像组成,允许攻击者从互联网匿名性加载不同的功能模块。植入还提供使用秘密后门密码的无限制访问。每个模块都通过HTTP协议(而不是HTTPS )启用,使用发送到路由器接口的特制TCP数据包。数据包具有非标准序列和相应的确认号。这些模块可以在路由器IOS中显示为独立的可执行代码或钩子,提供类似后门密码的功能。后门密码可通过控制台和Telnet访问路由器。

已知受影响的硬件routerCisco 1841 routerCisco 2811 routerCisco 3825 routerNote :我们的初步鉴定显示,其他型号可能会受到核心功能和IOS代码库相似性的影响。

持久性移植驻留在修改后的Cisco IOS映像中,当加载时,即使在系统重新启动后,移植也能在环境中保持持久性。但是,攻击者加载的任何其他模块将仅存在于路由器易失性存储器中,重启后将不可用。从取证的角度来看,如果模块加载到易失性存储器中,可以通过获取路由器映像的核心转储来分析它们。

对IOS二进制文件的详细修改可分为以下四个功能:

修改翻译后备缓冲区( TLB )读/写属性修改合法的IOS功能以调用和初始化恶意代码覆盖合法协议处理功能,恶意代码覆盖合法功能引用的字符串,恶意代码覆盖合法功能使用的字符串。由于路由器通常在防火墙和许多其他安全设备的外围操作,基于路由器的后门是理想的黑客工具。它们不仅可用于监控进出目标组织的通信,还可用于感染同一网络中的其他敏感硬件。这种攻击已经被理论化多年,但这是研究人员首次发现这种妥协在野外发生的具体证据。思科竞争对手制造的路由器也有类似的高级后门,这并不奇怪。

这篇文章接着提供了几个命令,管理员可以使用这些命令来判断他们维护的设备是否感染了病毒。虽然目前的攻击似乎只影响到少数几台安全不佳的路由器,但人们检查他们的设备并不是一个坏主意,因为目前对这一系列折中方案知之甚少。在在许多调查的早期阶段,研究人员常常会忽略重要的线索或者只看到大得多的模式的一小部分。需要帮助诊断设备的管理员可以通过电子邮件发送给synfuldrack - at - fireeye . com .

Copyright © 2017 pk10冠亚军和值计划 版权所有

导航

关闭

欢迎访问