據國外媒體報道,針對思科路由器的秘密攻擊其實比之前媒體報道的情況更活躍,至少有19個國家的79臺路由器受到了感染,其中包括美國一家互聯網服務供應商擁有的25臺路由器,中國則被發現有3臺路由器受到了感染。
這一結果是由一群計算機科學家發現的,他們對整個IPv4地址空間進行了清查,希望找出所有被感染的設備。
根據Ars周二的報道,所謂的SNYful Knock路由器植入體是在路由器先后接到一個硬編碼密碼和一串不同尋常的非相容型網絡數據包之后被激活的。科學家們向每一個互聯網地址發送失序TCP數據包而不發送密碼,然后監控對方反饋的數據,據此檢測出哪些路由器受到了后門程序的感染。
安全公司FireEye在本周二率先報告了SNYful Knock后門程序爆發的消息。植入物的大小與合法思科路由器鏡像完全一樣,而且它會在路由器每次重啟時自動加載。它最多支持100個模塊,供攻擊者在針對特定目標發動攻擊時使用。FireEye在印度、墨西哥、菲律賓和烏克蘭等地的一共14臺服務器上發現了這個后門程序的蹤影。
這是一項重大發現,因為它表明理論化的攻擊實際上早就被積極啟用了。最新研究表明,這種后門程序正在被更廣泛地使用,研究人員已經在包括美國、加拿大、英國、德國和中國在內的很多國家發現了它的存在。
FireEye公司的研究人員發表了一篇內容詳盡的文章來解釋如何檢測和清除SNYful Knock后門程序。
研究員們周二利用一款名為ZMap的互聯網掃描程序進行了4次掃描,在向每一個互聯網地址發送了帶有0xC123D數字編碼的失序數據包和被設定為0的確認數字碼之后,他們對反饋信息進行了監控,找出了序列數字被設置為0,緊急標志被復原和緊急指針被設置為0x0001的反饋信息對應的地址。
研究員們說:“我們沒有回應ACK數據包,而是發送了一個RST數據包,關閉了連接。這不會激發漏洞,嘗試登錄或完成通訊握手。然而,這可以讓我們將被植入了惡意后門程序的路由器與沒有被植入后門程序的路由器區分開來,因為沒有被植入過后門程序的路由器不會去設置緊急指針,而且只有二分之一的概率選擇以0作為序列數字。”
現在可以肯定的是,SYNful Knock是一種由專業人士開發的、功能齊備的后門程序,感染了這種惡意程序的路由器幾乎肯定會積極地去感染更多的設備。幸好科學家們監視的很多設備都是蜜罐誘捕系統。
所謂蜜罐誘捕系統指的是安全研究員們為了尋找攻擊背后的線索和攻擊的執行方式而故意感染的路由器設備。FireEye報告中提到的已經受到感染的79臺設備不大可能都是誘捕設備。
據FireEye周二報告稱,目前尚無證據表明SYNful Knock利用了思科路由器中的漏洞。據FireEye的高管稱,這種植入物背后的匿名攻擊者可能得到了國家級別的資助。
研究員們表示,如果其他廠商的連網設備也受到了類似后門程序的感染,那并不會令人感到意外。到目前為止,還沒有發現其他廠商的設備受到感染的證據,但是研究員們將繼續掃描互聯網,也許會發現證明這一理念的正確性的證據。
京公網安備 11010502049343號