新型思科路由器后門分析與防護
作者:網(wǎng)站建設(shè)出處:學(xué)眾科技發(fā)布時間:2020年07月14日點擊數(shù):2466
思科路由器在國內(nèi)使用量不小�,而且時常作為核心部件連接企業(yè)網(wǎng)絡(luò)��。但最近出現(xiàn)的一個新型思科路由器后門��,已經(jīng)嚴峻 威脅到了企業(yè)安全����。這次思科路由器"SYNful Knock"后門事件引發(fā)業(yè)界恐慌��,紛紛開始著手應(yīng)急預(yù)案���。
影響范圍涉及4個國家及常見型號
通常來說�,思科路由器的植入后門以前經(jīng)常被認為是理論可行或較難實現(xiàn)�,但近日有國外安全公司FireEye發(fā)現(xiàn)這種針對路由器的植入式后門正悄然流行,涉及Cisco 1841/Cisco 2811/Cisco 3825路由器及其他常見型號。目前發(fā)現(xiàn)在烏克蘭���、菲律賓����、墨西哥和印度這4個國家中正有至少14個類似的植入后門在傳播�。
要知道,大部分公司的核心網(wǎng)絡(luò)設(shè)備使用的都是思科路由器�����。如果一個企業(yè)的核心網(wǎng)關(guān)設(shè)備被黑���,不僅可以操縱 企業(yè)網(wǎng)絡(luò)出入口����,更可以對過往的信息進行修改及欺騙���,這危害就驗證了�。
通過弱口令登錄替換思科路由器固件
這個后門是通過修改思科路由器的固件植入惡意代碼實現(xiàn)的�,類似病毒感染正常文件。攻擊者需要通過其他途徑將這個后門固件上傳或者加載到目標路由器上���。目前看攻擊者并沒有利用任何的0day漏洞來上傳固件����,而是利用路由器的缺省口令或者弱口令來登錄路由器,然后上傳后門固件��,替換原有正常固件�����。只要路由器治理 員不升級固件����,攻擊者就可以持久獲得對路由器的長期操縱 。
放進去的后門類似病毒感染正常文件�����,攻擊者需要通過各種途徑��,將這個后門上傳或者加載到目標路由器上��,而且它還采納了先進的技術(shù)���,可以非常方便的隨時加入新的后門功能����。這種做法與大家電腦上的僵尸木馬非常相似�����,但用在路由器后門中還是比較少見�����。這個后門被命名為" SYNful Knock"�,可能是因為其后門的網(wǎng)絡(luò)操縱 功能中有個特別 的標記。
將僵尸木馬的手法移植到路由器上
這個后門植入了一個萬能后門口令��,攻擊者可以利用這個后門口令通過telnet或者操縱 臺登錄路由器��。它還采納了動態(tài)加載模塊的技術(shù)�����,可以非常方便的隨時加載新的惡意功能模塊�����,在Windows/Unix系統(tǒng)下的僵尸木馬網(wǎng)絡(luò)中這已是很常見的技術(shù)了�,但用在路由器后門中還是比較少見���。每個模塊都可以通過HTTP協(xié)議來更新、加載和刪除��。
這個后門被命名為“ SYNful Knock”����,可能是因為后門的網(wǎng)絡(luò)操縱 功能(CnC)會通過一個特別 的TCP SYN包來觸發(fā)。
思科路由器植入后門的技術(shù)細節(jié)
(由于尚未獲得真實樣本����,本章節(jié)技術(shù)細節(jié)均來自FireEye公司的相關(guān)技術(shù)報告,僅供參考)
這個后門通過篡改一個正常的Cisco IOS映像文件來植入惡意功能�,主要的修改操作包括:
修改所有translation lookaside buffer (TLB)的屬性為可讀可寫(RW)
正常IOS映像文件中,有些TLB的屬性是只讀的(RO)�����,而此后門會將所有TLB的屬性都設(shè)置為可讀可寫(RW)�,這可能是為了實現(xiàn)通過Hook IOS函數(shù)來加載模塊����。如果TLB屬性不是可讀可寫(RW),那對緩存內(nèi)存頁的修改就不能被同步到內(nèi)存中原始內(nèi)存頁中��。可以通過“ show platform”命令來檢查TLB的屬性情況��,如果發(fā)現(xiàn)全部TLB屬性都被設(shè)置為RW��,那可能意味著系統(tǒng)被植入了惡意后門�����。
據(jù)信是修改了一個與進程調(diào)度相關(guān)的函數(shù)入口��,將其指向一段惡意代碼��,這段代碼完成惡意軟件的初始化后�����,再執(zhí)行原有正常函數(shù)功能����。選擇該函數(shù)是因為其在每次系統(tǒng)重啟時都會被調(diào)用,這樣攻擊者就可以持續(xù)獲得操縱 權(quán)��。
用惡意代碼重寫一些正常的協(xié)議處理函數(shù)
為了防止映像文件大小發(fā)生變化���,此后門會直接用惡意代碼替換原有的一些正常函數(shù)的代碼����。
用惡意代碼需要使用的字符串重寫正常函數(shù)用到的字符串
同樣為了防止大小變化,攻擊者還會將CnC通信時用到的一些字符串直接替換正常函數(shù)使用的字符串�����。這樣導(dǎo)致在執(zhí)行一些正常IOS命令時�,就可能返回一些如下的異常結(jié)果。
后門口令
攻擊者在后門映像中植入了一個萬能口令����,保證攻擊者可以繞過正常口令限制隨時登錄系統(tǒng)�。這個后門口令可以通過操縱 臺、Telnet���、enable(提升到治理 員時)時輸入�����,一旦匹配則給予攻擊者治理 權(quán)限�����,否則就會繼續(xù)正常的口令檢查過程�����。目前看SSH和HTTPS登錄時沒有設(shè)置后門口令�����。
網(wǎng)絡(luò)命令和操縱 (CnC)
此后門還使用了模塊化方式來完成命令操縱 �,可以隨時將惡意功能加載到路由器中執(zhí)行���,這在路由器后門中還是比較少見的�����。這大大增強了惡意軟件的可擴展性����。一旦路由器重啟����,所有加載的惡意模塊都會消逝,攻擊者需要重新上傳惡意模塊����。
攻擊者通過發(fā)送一些特別 的TCP報文來開啟CnC操縱 �,即使路由器治理 員設(shè)置了一些過濾策略�����,后門仍然會接收并處理這些報文���。
CnC命令格式
后門支持5種操縱 命令��,包括顯示模塊狀態(tài)�����、為模塊加載分配內(nèi)存�����、加載模塊�、激活模塊����、卸載模塊,最多可加載100個模塊�。
防護方式
常見的國外廠商防護方式
既然有漏洞����,那就打補丁����,升級�����!但在實際的操作環(huán)境中��,執(zhí)行會遇到挑戰(zhàn):
1. 安全需求弱的小客戶���,難度特別大
2. 安全需求強的小客戶����,可執(zhí)行�,但是整改周期特別長
3. 安全需求弱的大客戶,難度特別大�,因為要涉及到整體業(yè)務(wù)鏈路停機
4. 安全需求強的大客戶,可執(zhí)行�,但是整改周期特別長,牽涉面廣
綠盟科技推舉 的防護方式
綠盟科技推舉 用1個基準3個階段來進行落地防護��。1個基準,把風險面轉(zhuǎn)化為風險點��;3個階段����,分為設(shè)計及實施、試運行及驗收�、長期運維。各部分內(nèi)容在項目實施過程中細節(jié)較多����,下面僅提要說明。
設(shè)計��、實施
1. 統(tǒng)計系統(tǒng)范圍內(nèi)cisco設(shè)備的數(shù)量以及需要納入統(tǒng)一策略治理 的其他廠商的設(shè)備集合���,實現(xiàn)風險的識別
2. 設(shè)計時采納區(qū)域隔離:治理 域與生產(chǎn)域嚴格隔離(VLAN技術(shù)和防火墻)���,實現(xiàn)風險的操縱
3. 治理 域?qū)崿F(xiàn)堡壘機統(tǒng)一納管,并且在堡壘機中設(shè)定相關(guān)口令策略�����,實現(xiàn)風險的轉(zhuǎn)移
4. 設(shè)計選型時���,在穩(wěn)定的基礎(chǔ)上使用較為新的IOS固件并做MD5校驗��,實現(xiàn)風險的削弱
5. 設(shè)計網(wǎng)絡(luò)入侵檢測及防護設(shè)備(NIDS/NIPS)對此事進行檢測���,并且把對應(yīng)異常網(wǎng)絡(luò)事件進行每日監(jiān)控����,實現(xiàn)風險的監(jiān)控
a) 從整個SYNful Knock事件過程中�,有三個重要階段事件:弱口令推測����,后門外鏈,后門命令操縱 ����。NIPS不僅僅能夠針對每一個階段單獨防護,同時能夠建立起逐層防護的機制��;
b) 首先是弱口令����,NIPS中弱口令規(guī)則能夠進行Telnet弱口令事件告警,提示治理 員關(guān)注賬號弱口令問題�����,同時也能夠阻斷暴力推測行為;
c) 其次后門外鏈�����,通過檢測TCP會話建立過程中特征��,阻斷后門的通信連接�����;
d) 最后后門命令操縱 �,需要使用CnC或者TCP方式進行命令操縱 ,NIPS在檢測流量時����,對操縱 命令進行檢測,達到阻斷操縱 的效果�。即便是植入了后門,阻斷命令發(fā)送無法對其命令操縱
6. 選型考慮國產(chǎn)設(shè)備���,實現(xiàn)風險的規(guī)避
試運行�、驗收
1. 做基礎(chǔ)安全評估(漏洞掃描��、基線核查、內(nèi)網(wǎng)滲透測試)
2. 重新規(guī)整所有用戶口令���;
3. 測試入侵檢測日報的可用性�;
等等……
長期運維
1. 新交維的系統(tǒng):按設(shè)計�����、實施規(guī)范定期作為維護����;
2. 老系統(tǒng):
2.1 快速處理: 搭建TFTP服務(wù)器 強制備份所有線上IOS鏡像����,并且對已經(jīng)備份的IOS進行與官方下載IOS鏡像進行md5校驗;
md5校驗成功的處理方式:參照 2.2
md5校驗失敗的處理方式:
本著安全原則�����,清除IOS已經(jīng)不保險了�����,建議采納替換的方式把有問題設(shè)備替換下來���;
有問題的設(shè)備返廠檢測吧����,當然也可以考慮將其做成蜜罐;
建議做一次網(wǎng)絡(luò)區(qū)域內(nèi)的大排查����,不然很危險哦;
2.2 按新系統(tǒng)設(shè)計標準��,對治理 域進行整改���。
3. 分析 每日入侵檢測報告(木馬)
小結(jié)
本文主要技術(shù)細節(jié)部分來自于FireEye公司的一篇技術(shù)報告���,其大致的過程就是這樣的
1. 尋找能登錄的cisco 設(shè)備(通過暴力破解、社工�����、弱口令等方式)�,能進去是前提;
2. 傳一個帶馬的IOS上去����;找機會重新加載新的IOS���,同時痕跡清理;
3. 然后加固路由器��,防止被其他人拿走這個“成果”�����;
4. 開始植入木馬等惡意程序�����,然后實施攻擊動作�����,比如JS劫持等
從報告披露的信息來看�,針對Cisco路由器的后門映像植入技術(shù)已經(jīng)逐漸從理論走向有用 化����,后門功能從簡單的萬能口令已經(jīng)擴展到模塊化遠程加載任意惡意代碼。由于路由器位于網(wǎng)絡(luò)的核心出入口位置�����,一旦攻擊者可以在路由器中執(zhí)行代碼,意味著攻擊者可以對經(jīng)過路由器的網(wǎng)絡(luò)流量進行各種操作�����,而不僅限于路由器原有提供的功能���,從而導(dǎo)致更大的危害��。
豫公網(wǎng)安備41018402000614號