鲁达 Enlarge
FireEye
研究人员已经发现了积极和高度秘密的攻击,有感染可以用来获得永久的立足之地有针对性的网络内的十几个 Cisco 路由器与后门。
SYNful 敲恶意软件已在四个国家,包括乌克兰、 菲律宾、 墨西哥和印度的 14 路由器上发现,和可能被用来感染其他部分的有针对性的网络,研究人员从安全牢固 FireEye 在周二上午公布一份报告中写道。恶意的路由器植入设备通电时每次都加载和支持达 100 模块,可以适应个人的目标。Cisco 系统官员已经证实这一发现,并发布了入侵检测特征码,客户可以使用来阻止正在进行的攻击。
"在您的网络上找到此植入的影响是严重和最有可能出现其他的立足点或系统受损,"FireEye 研究者在周二的职位。"这后门提供充足能力为攻击者传播和损害其他的主机和关键数据,使用这作为一个非常隐蔽的滩头阵地"。
最初的感染似乎并没有任何漏洞的 Cisco 设备中。相反,攻击者似乎利用路由器使用出厂默认值或以某种方式否则已知的密码。详细的 FireEye 报告来自五个星期后思科警告客户的一系列的攻击完全劫持网络的关键设备。攻击,思科称,通过替换有效工作"ROM 监视器或"人才更易于"固件图像用于引导的 Cisco 设备。
FireEye 报告没有给出细节关于 14 感染的路由器属于和袭击的幕后主使人是否正在为国家赞助的间谍机构或受利益驱使的犯罪组织的组织。在路透社,采访中 FireEye 首席执行官 Dave DeWalt 说,"这一壮举是只能够由一小撮民族国家行为者获得。在任何情况下,还有毫无疑问的设备被感染的专业开发和充分推荐后门。研究人员写道:
植入摘要
植入物由修改后的 Cisco IOS 图像,使得攻击者能够从互联网的匿名加载不同的功能模块组成。植入物还提供不受限制地的访问使用秘密后门密码。每个模块都是通过 HTTP 协议 (不是 HTTPS),使用巧尽心思构建的 TCP 数据包发送到路由器接口启用。数据包有非标准的序列和相应的确认号。模块可以体现自己作为独立的可执行代码或提供类似于后门密码功能的 IOS 路由器中钩。后门密码提供通过控制台和 Telnet 路由器的访问权限。
Enlarge
FireEye
已知的受影响的硬件
- Cisco 1841 路由器
- Cisco 2811 路由器
- 思科 3825 路由器
注: 我们初步鉴定透露其他模型可能受到基于相似性的核心功能和 IOS 代码库。
持久性
植入物改性的 Cisco IOS 映像内驻留和加载时,保持其在环境中,即使在系统重新启动后的持久性。然而,任何进一步的模块加载由攻击者将只存在于路由器的易失性存储器和不会在重新启动后可供使用。从法医的角度来看,如果在易失性存储器,加载了模块之一可以分析他们获取路由器图像的一个核心转储文件。
详细信息
对二进制 IOS 的修改可以细分为以下四种功能:
- 修改转换后备缓冲器 (TLB) 读/写属性
- 修改一个合法的 IOS 函数来调用和初始化恶意软件
- 覆盖合法协议处理功能与恶意代码
- 改写引用的合法职能与字符串被恶意软件所使用的字符串
由于路由器通常运行的防火墙和很多其他安全设备外围,基于路由器的后门程序作出理想的黑客工具。不只可以用他们来监控通信进入和走出有针对性的组织,他们也可感染同一网络内其他敏感的硬件。这种攻击已经论证数年,但这是首次研究人员已经发现这种妥协发生在野外的具体证据之一。它不会令人惊讶的同样先进后门路由器由思科以及竞争对手的存在。
邮报 》 去提供几个命令,管理员可以使用告诉是否他们维护的设备已经被感染。虽然目前攻击似乎影响不安全路由器数目,它不是一个糟糕的主意,为人要检查他们的装备,因为,所以目前知之甚少的妥协此字符串。在许多调查的早期阶段,并非不寻常的研究者要错过重要线索或看到只有一小部分的更大的模式。想要帮助诊断其齿轮的管理员可以电子邮件 synfulknock 在 的研究人员。