本帖最后由 lindeng1988 于 2015-9-17 19:07 编辑
美国安全公司的研究人员发现,至少14个业务路由器固件已经被另一种后门的版本取代。江民科技作为全球领先的信息安全公司,针对此种情况推出了大数据APT检测防御系统,可有效检测到网络中潜伏的各种病毒威胁和网络欺骗,及时进行发出警报提醒管理人员。 更换路由器固件和已中毒的版本已不再只是一个理论上的风险。研究人员发现:来自真实世界的攻击,已存在于四个国家安装的流氓业务路由器固件中。 路由器植入,被称为SYNful Knock。攻击者从提供的具有高度特权的后门进入受影响的设备,这种情况甚至在重新启动后也仍然会存在。它不同于在消费者的路由器上常见的那些恶意软件, 毕竟当设备重启时,那些恶意软件会被从内存中抹去。 SYNful Knock是在已被修改的iOS操作系统上运行的专业路由器和交换机。到目前为止,研究人员在Cisco 1841,8211和3825“集成多业务路由器”中发现,这是一种典型的分支机构或是通过管理网络服务提供商所办理的业务。研究人员已经在墨西哥,乌克兰,印度和菲律宾看到了14路由器流氓固件。 CISCO的模型已被确认受到了影响且不再再被出售。但我们不能保证未来的或还没有开始研发的新的模型不会针对这些。Cisco在八月发布了一个安全公告,警告用户在安装由公司生产的路由器的流氓固件是会遭受新的攻击的。 研究人员对 SYNful Knock进行植入研究,研究表明它不会通过漏洞的部署,但它最有可能通过那些默认的或被盗的管理凭据。它对固件图像进行了完备的修改,以保持其大小与原来的大小相同。 该流氓固件不但实现了一个后门密码Telnet的特权并控制着访问台,而且它还能监听包含在特制的TCP SYN数据包里的命令–所以被命名为SYNful Knock。 自定义的“敲门”程序可以用来指使恶意固件注入额外的恶意模块到路由器的内存中。虽然不像后门密码,但这些模块是不能持久地跨设备重新启动的。 路由器妥协是很危险的。因为它们给了攻击者探查和修改网络流量的能力,直接使用户欺骗网站并启动对设备的其他攻击,并使服务器和计算机隔离网络。 路由器通常是不会获得相同级别的员工工作站或应用程序服务器的安全关注的,虽然企业实际上希望被同一水平的人攻击。它们不受防火墙的保护,而且也没有在其上运行的反恶意软件产品。 研究人员警告说:“现在的情况应该很明显,这种攻击方法是非常现实的,并且很有可能会在普及和流行后增长。” 江民科技作为全球领先的信息安全公司,针对此种情况推出了大数据APT检测防御系统,可有效检测到网络中潜伏的各种病毒威胁和网络欺骗,及时进行发出警报提醒管理人员。 | 
[复制链接]
发表于 2015-9-17 19:06:04
快乐的小软文。
发表于 2015-9-17 23:07:52
