新型思科路由器后门SYNful Knock
思科路由器在国内有多大的使用量?做过系统集成的知道,在百度搜索中也可以知道,那思科路由器出现后门,可能影响其大多数型号,你惊慌吗?做过网络管理的都知道,路由器可能很长时间都不会升级其系统固件,攻击者拿到这些后门利用方法,就可以长期使用,你害怕吗?
影响范围涉及4个国家及常见型号
通常来说,思科路由器的植入后门以前经常被认为是理论可行或较难实现,但近日有国外安全公司Fireeye发现这种针对路由器的植入式后门正悄然流行,涉及Cisco /Cisco /Cisco 路由器及其他常见型号。目前发现在乌克兰、菲律宾、墨西哥和印度这4个国家中正有至少个类似的植入后门在传播。
通过弱口令登录替换思科路由器固件
这个后门是通过修改思科路由器的固件植入恶意代码实现的,类似病毒感染正常文件。攻击者需要通过其他途径将这个后门固件上传或者加载到目标路由器上。目前看攻击者并没有利用任何的0day漏洞来上传固件,而是利用路由器的缺省口令或者弱口令来登录路由器,然后上传后门固件,替换原有正常固件。只要路由器管理员不升级固件,攻击者就可以持久获得对路由器的长期控制。
将僵尸木马的手法移植到路由器上
这个后门植入了一个万能后门口令,攻击者可以利用这个后门口令通过telnet或者控制台登录路由器。它还采用了动态加载模块的技术,可以非常方便的随时加载新的恶意功能模块,在Windows/Unix系统下的僵尸木马网络中这已是很常见的技术了,但用在路由器后门中还是比较少见。每个模块都可以通过HTTP协议来更新、加载和删除。
这个后门被命名为” SYNful Knock”,可能是因为后门的网络控制功能(CnC)会通过一个特殊的TCP SYN包来触发。
全文较长,请移步 绿盟科技博客