思科路由器超级后门被入侵 黑客如何窃取私密?

分享到:

Atmel社区网讯:周二,美国著名的上市互联网安全公司FireEye(火眼)旗下的Mandiant services team(麦迪安服务团队)发布了一份针对思科路由器前所未有的超级后门入侵事件调查报告:

  他们发现了部分型号的思科路由器存在被黑客篡改路由器系统加入了超级后门,通过超级后门可以非常隐蔽地控制思科路由器,目前市面上还没有任何的网络安全软件能够检测到此类攻击。

  此消息刚一爆出,就在我们业内中炸了锅。我们都知道思科是全球最著名的企业级网络设备提供商,大部分公司的核心网络设备使用的是思科的设备。如果一个企业的核心网关设备被黑,企业就没有任何安全可言,于是我们公司内的安全部门启动紧急预案,开始排查公司的思科路由器是否有可能被入侵。

  大家都知道斯诺登爆料的美国“棱镜门”事件,美国政府对民众的上网行为进行监控。

  这里采用的监控技术,就是对网络运营商的核心网络设备进行操控,对经过核心网络设备的所有网络数据镜像存储后分析。普通用户上网过程中所有数据都会通过互联网运营商的路由器,如果互联网运营商的核心路由设备被黑,用户上网过程中的任何隐私数据就有可能被黑客窃取。

  这次的超级后门事件被火眼公司命名为“SYNful Knock”,SYNful是一个生造的单词,我斗胆将其译为“原罪敲门”事件。我通读完FireEye(火眼)的安全报告后,略觉惊悚。

  思科路由器的系统IOS(和苹果一个名字)从未对外正式开源(我这里都简称为IOS),这个系统就像一个黑盒子一样,是完全闭源的。早年在黑客圈中曾放出利用思科系统支持的TCL脚本制作的路由器后门技术,引起黑客们一片膜拜:

  这种后门技术通常是用弱口令进入思科路由器执行一段脚本,监听一个非常明显的后门端口,连接后门端口对思科路由器进行控制,这种入侵手法可以被明显的发现。至此以后就并没有太高端的思科设备后门技术,而这次居然是外界无法发现的系统级后门!

  因为这次超级后门事件除了火眼的报告,并没有太多的消息来源,所以我通过自己的经验对其进行一些技术分析:

  这次的后门是系统级别的,换一个角度叙述可以让大家更容易理解。大家可以假想一下思科的设备有内置后门,而火眼的报告分析显示,黑客是通过隐蔽的报文远程控制思科路由器,要达到这种后门的技术必须对思科的IOS进行改写,更改有多种途径,比如:

  一、黑客拥有思科操作系统的源代码,对源码进行重新编译,然后通过物理入侵手段给思科路由器刷新操作系统。

  要达到这种效果,设备从原厂发出,如果不是原厂的内置后门,那么只有可能在各种中间分销途径加入后门,设备一旦进入企业后果不敢想象。

  二、在思科路由器的IOS系统的升级镜像中加入了恶意代码。

  路由器设备采购到企业后,一般工程师都会升级思科路由器的IOS系统,刚刚8月思科的官网曾发布一个安全公告,我摘了关键的一句话给大家分析解释,英文是“Cisco IOS ROMMON (IOS bootstrap) with a malicious ROMMON image”,简单说就是思科发现有少量的升级镜像被加入了恶意代码,所以如果工程师升级思科路由器,可能升级是一个被人做手脚的系统镜像。这个恶意镜像的制作技术非常高端,毕竟IOS是闭源的。

  除了这2个途径,想要对思路路由器进行无感知的远程植入后门,目前看可能性比较小,因为这种系统级别的篡改需要重启思科路由器,线上业务如果重启关键的网络核心设备是会惊动网络工程师的,当然也不排除这种微小的可能,有超级黑客能够远程对思科的系统进行无感知篡改。

  如何防范呢?

  这样的黑客入侵行为,虽然普通的安全网络工程师无法发觉,目前市面上也没有安全工具能够发现。但据说火眼的内部报告有“原罪敲门”的入侵检测方法,现已经在网络上公布流传中,排查后门的方法大家可以搜索这份报告参考。如无法有效排查,我推荐使用可靠的镜像重装思科设备的操作系统

  希望本文能够引起大家对这次事件的重视,警惕“原罪敲门”。

 

 

更多Atmel及科技新闻请关注:  
Atmel中文官网:https://www.atmel.com/zh/cn/
Atmel技术论坛:https://atmel.eefocus.com/
Atmel中文博客:https://blog.sina.com.cn/u/2253031744
Atmel新浪微博:https://www.weibo.com/atmelcn

继续阅读
放心,Wi-Fi漏洞没有你想象得那么可怕

如今,你可能每天都离不开 Wi-Fi,它像水、电、空气一样包围你的生活。所以,当不少人看到今天关于 Wi-Fi 被曝出重大安全漏洞的新闻时,心里都一阵恐慌,担心自己连上 Wi-Fi 的手机被黑客「黑掉」。但是,事实真有那么可怕吗?

把智能设备变成监听器,只需要一首音乐就够了

据外媒报道,一群学生黑客演示了如何用音乐将智能设备变成监听器。这种技术将人耳听不到的声呐信号植入到智能手机或电视机播放的歌曲中,然后利用这些设备的麦克风或音箱来监听声呐信号的反射方式,从而跟踪附近人的一举一动。

黑客瞬间破解华为手机指纹锁 指纹识别安全性有待提高

你的手机具备指纹识别功能吗?如果你的答案为“是”,那么针对以下这一条新闻,你应该要提高警觉,甚至要铭记在心。因为在今日于上海举办的GeekPwn骇客大赛中,来自美国的团队在瞬间就突破了华为P9 Lite的防线,让他们不需透过使用者输入指纹,就能成功解锁手机,如入无人之境。

指纹识别、虹膜扫描就比传统密码更安全吗?未必!

生物识别安全系统的设计思路就是让用户使用明显的身体特征——例如指纹、虹膜或心跳率——来证明自己的身份。这种功能在当前的很多设备中都很常见。例如,苹果iPhone允许用户通过指纹来授权某项支付活动。

60美元黑客设备就可以欺骗大部分自动驾驶汽车里的LIDAR系统

一个安全领域的研究者利用Arduino平台和激光指示器研制了一款价值60美元的系统。该系统可以欺骗大部分自动驾驶车辆的LIDAR传感器。

©2019 Microchip Corporation
facebook google plus twitter linkedin youku weibo rss