Coppola是Virtual Security Research(VSR)的安全顧問，他在上周日的Defcon黑客大會(huì)上展示了路由器固件后門處理過程--這是需要逆向工程學(xué)技術(shù)的復(fù)雜的過程。

在Defcon大會(huì)上，他還發(fā)布了一個(gè)被稱為路由器Post-Explotation框架(rpef)的工具，該工具能夠?qū)碜圆煌?yīng)商的幾款主流路由器型號(hào)進(jìn)行自動(dòng)化固件后門處理。

rpef支持的設(shè)備包括：Netgear WGR614、WNDR3700和WNR1000;Linksys WRT120N;TRENDnet TEW-651BR和TEW-652BRP;D-Link DIR-601和Belkin F5D7230-4。

這些路由器中，只有特定版本才能被該框架添加后門程序，一些還需要更多的測(cè)試。然而，rpef所支持的設(shè)備在未來還將會(huì)不斷增加。

rpef可以向路由器固件增加多個(gè)有效載荷：根blind shell，網(wǎng)絡(luò)嗅探器或者連接到預(yù)定義IRC(互聯(lián)網(wǎng)中繼聊天)服務(wù)器的僵尸網(wǎng)絡(luò)客戶端，通過這個(gè)服務(wù)器，僵尸網(wǎng)絡(luò)可以接收來自攻擊者的各種命令，包括發(fā)動(dòng)拒絕服務(wù)攻擊等。

將后門固件寫入到設(shè)備(也被稱為flashing)可以通過大多數(shù)路由器的web管理界面來實(shí)現(xiàn)，遠(yuǎn)程攻擊者可以從幾個(gè)方面來利用這個(gè)功能。

一種方法是掃描互聯(lián)網(wǎng)中的路由器，讓其web管理界面可以被遠(yuǎn)程訪問，在很多路由器中，這并不是默認(rèn)設(shè)置，但互聯(lián)網(wǎng)中有很多這樣配置的設(shè)備。

一旦這些設(shè)備被確定，攻擊者就可以嘗試使用默認(rèn)供應(yīng)商提供的密碼、暴力破解密碼或者利用身份驗(yàn)證繞過漏洞來進(jìn)入設(shè)備?；ヂ?lián)網(wǎng)上有很多專門追蹤和記錄路由器默認(rèn)管理登陸憑證和漏洞的網(wǎng)站。

Coppola表示：“我進(jìn)行了端口掃描，發(fā)現(xiàn)有數(shù)千個(gè)正在使用默認(rèn)密碼遠(yuǎn)程收聽互聯(lián)網(wǎng)的開放路由器的IP地址。”

然而，即使web界面沒有暴露給互聯(lián)網(wǎng)，攻擊者也可以通過流氓固件來將后門程序遠(yuǎn)程寫入設(shè)備。

上周四在黑帽安全大會(huì)上，來自AppSec安全咨詢公司的安全人員Phil Purviance和Joshua Brashars演示了已知JavaScript攻擊如何結(jié)合新的基于HTML5的技術(shù)，來刷新訪問惡意網(wǎng)站的用戶的路由器上的DD-WRT基于 Linux的自定義固件。

目前已經(jīng)存在基于JavaScript的腳本可以通過受害者的瀏覽器來枚舉本地網(wǎng)絡(luò)中的設(shè)備，設(shè)置可以確定設(shè)備的類型、型號(hào)等，這項(xiàng)技術(shù)被稱為設(shè)備指紋(device fingerprinting)。

Purviance和Brashars表示，確定受害者的內(nèi)部網(wǎng)絡(luò)IP地址不能單靠JavaScript來實(shí)現(xiàn)，但基于插入內(nèi)容(例如Java)可以用于此目的。

一旦路由器被確定，攻擊者就可以使用默認(rèn)登錄信息或者發(fā)起跨站請(qǐng)求偽造攻擊(CSRF)，通過受害者的瀏覽器來訪問其web界面。

如果受害者使用與過去相同的瀏覽器來登錄到路由器的web界面，他們的會(huì)話cookie將仍然有效，攻擊者可以簡(jiǎn)單地將受害者的瀏覽器導(dǎo)向到在路由器的界面中執(zhí)行活動(dòng)，而不需要進(jìn)行身份驗(yàn)證。

很多路由器，尤其是老舊的路由器，沒有更新新固件，沒有CSRF保護(hù)。

Purviance和Brashars展示了，XMLHttpRequest Level 2(XHR2)、跨域資源共享(Cross-Origin Resource Sharing，CORS)和HTML5 File API等新的瀏覽器功能如何被用于下載流氓固件文件到用戶的瀏覽器，然后再對(duì)路由器進(jìn)行后門處理，而不需要任何用戶交互。在過去，使用 Javascript和舊的瀏覽器技術(shù)不可能實(shí)現(xiàn)。

他們的演示使用了DD-WRT，它存在重新設(shè)置路由器的用戶自定義設(shè)置的缺點(diǎn)，因?yàn)樗褂貌煌慕涌冢@很容易被發(fā)現(xiàn)。

然而，他們的攻擊可以與Coppola的后門固件結(jié)合起來使用，這樣一來，攻擊者可以上傳后門固件，這個(gè)固件將會(huì)與原來的固件一模一樣。

即使是用戶自定義設(shè)置也可以被保留。大多數(shù)路由器提供在執(zhí)行固件升級(jí)時(shí)保留設(shè)置的選項(xiàng)，這些設(shè)置將被保存在被稱為NVRAM(非易失性隨機(jī)存儲(chǔ)內(nèi)存)的單獨(dú)的內(nèi)存芯片中，當(dāng)你刷新固件時(shí)，它們也不會(huì)被覆蓋。

“攻擊者只要從路由器就可以發(fā)展大規(guī)模僵尸網(wǎng)絡(luò)，”Coppola表示，“我認(rèn)為這將會(huì)逐漸發(fā)展起來，我并不是嚇唬人。”

早在2009年，基于路由器的僵尸網(wǎng)絡(luò)還只是一個(gè)概念，當(dāng)時(shí)，追蹤受感染計(jì)算機(jī)IP地址的DroneBL公司發(fā)現(xiàn)一個(gè)蠕蟲病毒，這個(gè)蠕蟲病毒正在感染路由器和運(yùn)行mipsel Debian分布的DSL調(diào)制解調(diào)器。

在2011年，來自反病毒供應(yīng)商趨勢(shì)科技的研究人員發(fā)現(xiàn)了類似的針對(duì)D-Link路由器的惡意軟件正在拉丁美洲蔓延。

在上述兩種情況中，惡意軟件都是使用暴力破解攻擊和默認(rèn)登錄信息來感染路由器和安裝臨時(shí)僵尸網(wǎng)絡(luò)客戶端，當(dāng)路由器重啟時(shí)，這個(gè)客戶端將被刪除。

通過Coppola創(chuàng)建的后門固件，即使設(shè)備重啟，這種感染仍將持續(xù)，rootkit類型的惡意軟路由器僵尸網(wǎng)絡(luò)還沒有普及的原因在于：創(chuàng)建這種僵尸網(wǎng)絡(luò)的合適的工具還沒有出現(xiàn)。在Defcon大會(huì)上展示的一個(gè)被稱為固件逆向工程Koncole(FRAK)在真正意義上提高了人們對(duì)固件進(jìn)行分析的水平。