9月21日?qǐng)?bào)道，據(jù)國(guó)外媒體消息稱，針對(duì)思科路由器的秘密攻擊其實(shí)比之前媒體報(bào)道的情況更活躍，至少有19個(gè)國(guó)家的79臺(tái)路由器受到了感染，其中包括美國(guó)一家互聯(lián)網(wǎng)服務(wù)供應(yīng)商擁有的25臺(tái)路由器，中國(guó)則被發(fā)現(xiàn)有3臺(tái)路由器受到了感染。

這一結(jié)果是由一群計(jì)算機(jī)科學(xué)家發(fā)現(xiàn)的，他們對(duì)整個(gè)IPv4地址空間進(jìn)行了清查，希望找出所有被感染的設(shè)備。

根據(jù)Ars周二的報(bào)道，所謂的SNYful Knock路由器植入體是在路由器先后接到一個(gè)硬編碼密碼和一串不同尋常的非相容型網(wǎng)絡(luò)數(shù)據(jù)包之后被激活的?？茖W(xué)家們向每一個(gè)互聯(lián)網(wǎng)地址發(fā)送失序TCP數(shù)據(jù)包而不發(fā)送密碼，然后監(jiān)控對(duì)方反饋的數(shù)據(jù)，據(jù)此檢測(cè)出哪些路由器受到了后門程序的感染。

安全公司FireEye在本周二率先報(bào)告了SNYful Knock后門程序爆發(fā)的消息。植入物的大小與合法思科路由器鏡像完全一樣，而且它會(huì)在路由器每次重啟時(shí)自動(dòng)加載。它最多支持100個(gè)模塊，供攻擊者在針對(duì)特定目標(biāo)發(fā)動(dòng)攻擊時(shí)使用。FireEye在印度、墨西哥、菲律賓和烏克蘭等地的一共14臺(tái)服務(wù)器上發(fā)現(xiàn)了這個(gè)后門程序的蹤影。

這是一項(xiàng)重大發(fā)現(xiàn)，因?yàn)樗砻骼碚摶墓魧?shí)際上早就被積極啟用了。最新研究表明，這種后門程序正在被更廣泛地使用，研究人員已經(jīng)在包括美國(guó)、加拿大、英國(guó)、德國(guó)和中國(guó)在內(nèi)的很多國(guó)家發(fā)現(xiàn)了它的存在。

FireEye公司的研究人員發(fā)表了一篇內(nèi)容詳盡的文章來(lái)解釋如何檢測(cè)和清除SNYful Knock后門程序。

研究員們周二利用一款名為ZMap的互聯(lián)網(wǎng)掃描程序進(jìn)行了4次掃描，在向每一個(gè)互聯(lián)網(wǎng)地址發(fā)送了帶有0xC123D數(shù)字編碼的失序數(shù)據(jù)包和被設(shè)定為0的確認(rèn)數(shù)字碼之后，他們對(duì)反饋信息進(jìn)行了監(jiān)控，找出了序列數(shù)字被設(shè)置為0，緊急標(biāo)志被復(fù)原和緊急指針被設(shè)置為0x0001的反饋信息對(duì)應(yīng)的地址。

研究員們說(shuō)：“我們沒(méi)有回應(yīng)ACK數(shù)據(jù)包，而是發(fā)送了一個(gè)RST數(shù)據(jù)包，關(guān)閉了連接。這不會(huì)激發(fā)漏洞，嘗試登錄或完成通訊握手。然而，這可以讓我們將被植入了惡意后門程序的路由器與沒(méi)有被植入后門程序的路由器區(qū)分開(kāi)來(lái)，因?yàn)闆](méi)有被植入過(guò)后門程序的路由器不會(huì)去設(shè)置緊急指針，而且只有二分之一的概率選擇以0作為序列數(shù)字。”

現(xiàn)在可以肯定的是，SYNful Knock是一種由專業(yè)人士開(kāi)發(fā)的、功能齊備的后門程序，感染了這種惡意程序的路由器幾乎肯定會(huì)積極地去感染更多的設(shè)備。幸好科學(xué)家們監(jiān)視的很多設(shè)備都是蜜罐誘捕系統(tǒng)。

所謂蜜罐誘捕系統(tǒng)指的是安全研究員們?yōu)榱藢ふ夜舯澈蟮木€索和攻擊的執(zhí)行方式而故意感染的路由器設(shè)備。FireEye報(bào)告中提到的已經(jīng)受到感染的79臺(tái)設(shè)備不大可能都是誘捕設(shè)備。

據(jù)FireEye周二報(bào)告稱，目前尚無(wú)證據(jù)表明SYNful Knock利用了思科路由器中的漏洞。據(jù)FireEye的高管稱，這種植入物背后的匿名攻擊者可能得到了國(guó)家級(jí)別的資助。

研究員們表示，如果其他廠商的連網(wǎng)設(shè)備也受到了類似后門程序的感染，那并不會(huì)令人感到意外。到目前為止，還沒(méi)有發(fā)現(xiàn)其他廠商的設(shè)備受到感染的證據(jù)，但是研究員們將繼續(xù)掃描互聯(lián)網(wǎng)，也許會(huì)發(fā)現(xiàn)證明這一理念的正確性的證據(jù)。