發布時間:2023-8-17 分類: 電商動態
[摘要]該結果是由一組計算機科學家發現的,他們對整個IPv4地址空間進行了清點。
據國外媒體報道,對思科路由器的秘密攻擊實際上比之前在媒體上報道的更為活躍。 19個國家的至少79臺路由器已被感染,其中包括美國互聯網服務提供商擁有的25臺路由器。在中國,發現三臺路由器被感染。
結果是由一群計算機科學家發現的,他們對整個IPv4地址空間進行了清點,以期識別所有受感染的設備。
據Ars周二稱,在路由器收到硬編碼密碼和一串不尋常的不合規網絡數據包后,所謂的SNYful Knock路由器植入被激活。科學家在不發送密碼的情況下向每個Internet地址發送無序TCP數據包,然后監視另一方反饋的數據,以檢測哪些路由器被后門感染。
安全公司FireEye是第一個報告周二爆發SNYful Knock后門程序的人。植入物的大小與合法的Cisco路由器映像完全相同,并且每次路由器重新啟動時都會自動加載。它支持多達100個模塊供攻擊者在針對特定目標發起攻擊時使用。 FireEye在印度,墨西哥,菲律賓和烏克蘭的14臺服務器中找到了這個后門。
這是一個重大發現,因為它表明理論攻擊實際上已被主動激活。最近的研究表明,這種后門程序正在被更廣泛地使用,研究人員已經在許多國家發現它,包括美國,加拿大,英國,德國和中國。
FireEye研究人員發表了一篇廣泛的文章,解釋了如何檢測和刪除SNYful Knock后門。
研究人員周二使用名為ZMap的互聯網掃描儀進行了為期四周的掃描。在向每個因特網地址發送0xC123D數字編碼和確認數字設置為0的無序數據包之后,監視反饋信息,發現序列號設置為0,緊急標志恢復,緊急情況指針被設置為與0x0001的反饋信息對應的地址。
研究人員說:“我們沒有響應ACK數據包,但發送了一個RST數據包并關閉了連接。這不會觸發漏洞,嘗試登錄或完成通信握手。但是,這可以讓我們區分路由器來自沒有后門的路由器的惡意后門托管,因為沒有填充后門的路由器不設置緊急指針,只有兩個點。其中一個概率選擇0作為序列號。”
現在可以肯定的是,SYNful Knock是由專業人士開發的功能齊全的后門。感染此惡意程序的路由器幾乎肯定會主動感染更多設備。幸運的是,科學家監測的許多設備都是蜜罐誘捕系統。
所謂的蜂蜜陷阱系統是指安全研究人員故意感染的路由器設備,以便找到攻擊背后的線索以及攻擊的執行方式。在FireEye報告中感染的79個設備不太可能是陷阱設備。
根據FireEye周二的報告,目前沒有證據表明SYNful Knock利用了思科路由器中的漏洞。據FireEye高管稱,此類植入物背后的匿名攻擊者可能獲得州級資助。
研究人員表示,如果其他供應商的網絡設備感染了類似的后門,那就不足為奇了。到目前為止,沒有證據表明其他制造商的設備受到感染,但研究人員將繼續掃描互聯網,并可能找到證據證明這一想法的正確性。 (林敬東)
