安全公司FireEye前兩天剛剛發(fā)布報(bào)告稱在四個(gè)國(guó)家的14臺(tái)思科路由器上發(fā)現(xiàn)SYNful Knock后門程序，現(xiàn)在又發(fā)現(xiàn)79臺(tái)路由器存在相同后門。

[[149718]]

SYNful Knock 后門程序

安全研究人員為進(jìn)一步調(diào)查受感染設(shè)備而對(duì)所有IPv4地址進(jìn)行了掃描，這個(gè)被稱為SYNful Knock的后門應(yīng)用程序，在收到一串特別的、不合標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包硬編碼密碼之后，后門被激活。通過向每一個(gè)網(wǎng)絡(luò)地址發(fā)送無序TCP數(shù)據(jù)包而非密碼便可監(jiān)視應(yīng)答，因此研究者發(fā)現(xiàn)了那些被感染的后門。

本周二，當(dāng)FireEye第一次曝出SYNful Knock的活動(dòng)時(shí)，震驚了整個(gè)安全世界。植入的后門完全與合法思科路由器映像大小相同，同時(shí)在每次路由器重啟時(shí)都會(huì)加載。它可支持高達(dá)100個(gè)模塊，攻擊者能夠根據(jù)特定目標(biāo)加載不同功能的模塊。

在首次披露中，F(xiàn)ireEye發(fā)現(xiàn)它在印度、墨西哥、菲律賓和烏克蘭的服務(wù)器上出現(xiàn)，共計(jì)14臺(tái)。這一驚人發(fā)現(xiàn)說明了一直以來偏向理論化的攻擊形式正逐步被積極運(yùn)用。

而最新的研究結(jié)果顯示受害范圍其實(shí)遠(yuǎn)遠(yuǎn)不止四國(guó)，還包括美國(guó)、加拿大、英國(guó)、德國(guó)以及中國(guó)在內(nèi)的19個(gè)國(guó)家。

研究人員寫道：

這一后門可通過指紋識(shí)別，我們便使用修改過的ZMap掃描工具發(fā)送特制的TCP SYN數(shù)據(jù)包，掃描了所有公共IPv4地址。在9月15日掃描的4個(gè)公共IPv4地址空間，發(fā)現(xiàn)了79臺(tái)主機(jī)存在與SYNful Knock后門相符的行為。這些路由器分布于19個(gè)國(guó)家的一系列機(jī)構(gòu)中。值得注意的是，相比較IP地址的分配，非洲和亞洲植入后門的路由器數(shù)量驚人。而25臺(tái)受影響的美國(guó)路由器，都屬于同一個(gè)東海岸的網(wǎng)絡(luò)服務(wù)器供應(yīng)商。而受影響的德國(guó)和黎巴嫩路由器供應(yīng)商，同時(shí)也向非洲提供服務(wù)。

如何發(fā)現(xiàn)SYNful Knock后門

上圖便概括了本次研究結(jié)果;FireEye研究人員在博客中詳細(xì)解釋了如何檢測(cè)SNYful Knock后門。

研究人員使用網(wǎng)絡(luò)掃描工具Zmap進(jìn)行了四次掃描。配置之后，便開始向每個(gè)地址發(fā)送設(shè)置為0xC123D和0的數(shù)據(jù)包，等待哪些響應(yīng)序列號(hào)設(shè)置是0，緊急標(biāo)志并沒有設(shè)置，緊急指針設(shè)置為0×0001。

“我們沒有用一個(gè)ACK數(shù)據(jù)包進(jìn)行響應(yīng)，而是發(fā)送RST。這并非利用漏洞進(jìn)行登錄或者完成握手。這只是為了讓我們找出受感染的路由器。因?yàn)闆]有植入后門的路由器并未設(shè)置緊急指針，并且只有1/232的概率選擇0作為序列號(hào)。”

目前可以確定的是SYNful Knock是一個(gè)經(jīng)過專業(yè)開發(fā)并且功能完備的后門，可以影響的設(shè)備遠(yuǎn)超F(xiàn)ireEye此前的聲稱的數(shù)量。盡管受影響的設(shè)備中肯定有用于科學(xué)研究的蜜罐，用于幫助研究者尋找真正的幕后黑手以及發(fā)現(xiàn)后門是如何在路由器背后進(jìn)行運(yùn)作的。但是79臺(tái)設(shè)備都是誘餌的話，則似乎不太可能。目前FireEye沒有對(duì)這種可能性做出回應(yīng)。

目前尚沒有證據(jù)顯示SYNful Knock后門利用了思科路由器中任何漏洞，F(xiàn)ireEye高管表示這個(gè)后門背后的攻擊者——可能是有政府背景——似乎是利用了廠商設(shè)置的路由器默認(rèn)密碼或者某種其他已知的攻擊方式。

研究者說，如果其他制造商的網(wǎng)絡(luò)設(shè)備感染了相似后門，一點(diǎn)都不奇怪。盡管截至目前，沒有證據(jù)表明來自其他制造商的設(shè)備可以感染這一后門，但是隨著研究人員掃描工作的持續(xù)進(jìn)行，獲得支持這一理論的數(shù)據(jù)也只是時(shí)間問題。

解決方法

如果確定設(shè)備受到感染，最有效的緩解方法就是使用思科的干凈下載重新映像路由器。確定新映像的哈希值匹配，然后加固設(shè)備防止未來的攻擊。一定要更新設(shè)置、不要采用默認(rèn)的，在確定路由器沒有受感染之后，也要關(guān)注其他網(wǎng)絡(luò)的安全。如果路由器沒有默認(rèn)憑證，那么感染便是已經(jīng)發(fā)生了，下一步需要做的便是影響評(píng)估。