搜索歷史

熱搜詞

原創(chuàng)

活動(dòng)

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁(yè) >互聯(lián)網(wǎng)?IT > 網(wǎng)絡(luò) > 路由器 > 正文

思科路由器上的惡意軟件SYNful 讓你主動(dòng)交出鑰匙

來(lái)源：至頂網(wǎng) ：佚名 2015-10-08 09:39:12

在之前思科發(fā)生的一些有關(guān)路由器安全問題之后，有相關(guān)人士分析認(rèn)為這些安全漏洞已經(jīng)被隱藏了多年，就像OpenSSL的Heartbleed一樣。而這背后的主要問題就出在思科路由器上潛伏的SYNful。

SYNful思科路由器的惡意軟件

SYNful最具危險(xiǎn)性的特點(diǎn)是可升級(jí)

作為SYNful的最具危險(xiǎn)性的特點(diǎn)是：它可以升級(jí)。由安全公司FireEye發(fā)現(xiàn)SYNful是一個(gè)由用戶擊潰安全的典型例子。這種惡意軟件，已經(jīng)發(fā)現(xiàn)在Cisco 1841、2811和3825的路由器上，但這其實(shí)不是出現(xiàn)在Cisco所用的IOS系統(tǒng)中。而是它搶走了管理員自己的管理憑據(jù)和給予路由器的物理訪問權(quán)限。

黑客闖入房子的時(shí)候你給了他鑰匙？

我們知道，一旦黑客在路由器中植入了這種惡意軟件，那么，就可以利用這個(gè)后門針對(duì)路由器的固件映像的版本來(lái)替換思科路由器操作系統(tǒng)。然后可以在網(wǎng)絡(luò)中進(jìn)行隱藏。一旦現(xiàn)身，這種定制的模塊化惡意程序就可以更新，在網(wǎng)絡(luò)傷口上再撒上一把鹽，這個(gè)后門可能很難發(fā)現(xiàn)，因?yàn)樗褂梅菢?biāo)準(zhǔn)的數(shù)據(jù)包，即偽認(rèn)證的一種形式。

根據(jù)FireEye的調(diào)查稱，“后門采用秘密后門密碼給攻擊者不受限制的訪問。每個(gè)模塊都通過HTTP協(xié)議(而不是HTTPS)啟用，使用發(fā)送到路由器接口一個(gè)特制的TCP數(shù)據(jù)包，數(shù)據(jù)包有一個(gè)非標(biāo)準(zhǔn)的順序和相應(yīng)的確認(rèn)號(hào)碼。該模塊可以體現(xiàn)自己的路由器IOS提供類似的后門密碼的功能中作為獨(dú)立的可執(zhí)行代碼或掛鉤的后門密碼才能訪問真正的控制臺(tái)和Telnet的路由器。“

另外，一些學(xué)者已經(jīng)搜查了通過互聯(lián)網(wǎng)IPv4與ZMAP感染的Cisco路由器。到目前為止，已經(jīng)找到了“79臺(tái)主機(jī)顯示的行為與SYNful植入特征相似。”

然而，這個(gè)事件告訴我們安全不僅僅因?yàn)樽陨淼某绦虮容^弱，再?gòu)?qiáng)的軟件也不能保障萬(wàn)無(wú)一失，因?yàn)檫@不意味著攻擊者不能“升級(jí)”。所以在此期間，您的網(wǎng)絡(luò)仍然是敞開各種數(shù)據(jù)在襲擊和加載其他惡意程序的威脅之下。

最后，還是建議各位應(yīng)該盡快檢查一下，如果你的路由器已被病毒感染，那么請(qǐng)盡快使用Snort的新思科塔洛斯Snort規(guī)則SID：36054。

編輯：景堯婷

關(guān)鍵字：思科路由器