发布时间:2023-8-17 分类: 电商动态
[摘要]该结果是由一组计算机科学家发现的,他们对整个IPv4地址空间进行了清点。
据国外媒体报道,对思科路由器的秘密攻击实际上比之前在媒体上报道的更为活跃。 19个国家的至少79台路由器已被感染,其中包括美国互联网服务提供商拥有的25台路由器。在中国,发现三台路由器被感染。
结果是由一群计算机科学家发现的,他们对整个IPv4地址空间进行了清点,以期识别所有受感染的设备。
据Ars周二称,在路由器收到硬编码密码和一串不寻常的不合规网络数据包后,所谓的SNYful Knock路由器植入被激活。科学家在不发送密码的情况下向每个Internet地址发送无序TCP数据包,然后监视另一方反馈的数据,以检测哪些路由器被后门感染。
安全公司FireEye是第一个报告周二爆发SNYful Knock后门程序的人。植入物的大小与合法的Cisco路由器映像完全相同,并且每次路由器重新启动时都会自动加载。它支持多达100个模块供攻击者在针对特定目标发起攻击时使用。 FireEye在印度,墨西哥,菲律宾和乌克兰的14台服务器中找到了这个后门。
这是一个重大发现,因为它表明理论攻击实际上已被主动激活。最近的研究表明,这种后门程序正在被更广泛地使用,研究人员已经在许多国家发现它,包括美国,加拿大,英国,德国和中国。
FireEye研究人员发表了一篇广泛的文章,解释了如何检测和删除SNYful Knock后门。
研究人员周二使用名为ZMap的互联网扫描仪进行了为期四周的扫描。在向每个因特网地址发送0xC123D数字编码和确认数字设置为0的无序数据包之后,监视反馈信息,发现序列号设置为0,紧急标志恢复,紧急情况指针被设置为与0x0001的反馈信息对应的地址。
研究人员说:“我们没有响应ACK数据包,但发送了一个RST数据包并关闭了连接。这不会触发漏洞,尝试登录或完成通信握手。但是,这可以让我们区分路由器来自没有后门的路由器的恶意后门托管,因为没有填充后门的路由器不设置紧急指针,只有两个点。其中一个概率选择0作为序列号。”
现在可以肯定的是,SYNful Knock是由专业人士开发的功能齐全的后门。感染此恶意程序的路由器几乎肯定会主动感染更多设备。幸运的是,科学家监测的许多设备都是蜜罐诱捕系统。
所谓的蜂蜜陷阱系统是指安全研究人员故意感染的路由器设备,以便找到攻击背后的线索以及攻击的执行方式。在FireEye报告中感染的79个设备不太可能是陷阱设备。
根据FireEye周二的报告,目前没有证据表明SYNful Knock利用了思科路由器中的漏洞。据FireEye高管称,此类植入物背后的匿名攻击者可能获得州级资助。
研究人员表示,如果其他供应商的网络设备感染了类似的后门,那就不足为奇了。到目前为止,没有证据表明其他制造商的设备受到感染,但研究人员将继续扫描互联网,并可能找到证据证明这一想法的正确性。 (林敬东)