路由器正常固件被惡意代碼感染了的固件代替已不再是理論上的概念,曼迪安特(Mandiant)的研究人員檢測到了真實世界的攻擊,他們在四個國家發(fā)現(xiàn)了被植入惡意固件的商業(yè)路由器。
這個惡意固件被命名為“SYNful Knock”,可提供高級別的后門訪問權(quán)限。與普通路由器感染的惡意軟件不同,即使路由器重啟也無法令后門消失。SYNful Knock 是IOS操作系統(tǒng)的修改版,運行在思科制造的專業(yè)路由和網(wǎng)關(guān)上。目前發(fā)現(xiàn)受到影響的設(shè)備為Cisco 1841/8211/3825,這三種路由器在企業(yè)分支機構(gòu)或網(wǎng)絡(luò)服務(wù)管理提供商中廣泛使用。
曼迪安特分別在墨西哥、烏克蘭、印度和菲律賓發(fā)現(xiàn)14臺路由器被感染,雖然這些受到影響的路由器型號思科已經(jīng)不再出售,但無法保證新型號的路由器不會成為被攻擊的目標。
研究人員發(fā)現(xiàn),SYNful Knock 并非通過漏洞安裝,很可能是通過默認密碼或盜取管理員密碼之后安裝的,而且篡改后的固件映像文件與原始文件一樣大小。該惡意固件可能一個后門口令進行Telnet和控制臺訪問,同時傾聽特殊構(gòu)造的 TCP SYN 數(shù)據(jù)包以執(zhí)行命令,把惡意代碼模塊注入內(nèi)存,這也正是其命名的由來。
曼迪安特發(fā)布的一份白皮書中提供可以檢測 SYNful Knock 的入侵指示器,這個火眼的子公司警告業(yè)內(nèi),此種攻擊形式將會快速增長并流行。
京公網(wǎng)安備 11010502049343號