思科路由器超级后门被入侵,黑客如何窃取私密?

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

【编者按】本文作者为上市公司资深安全专家,专注安全资讯深喉

周二,美国著名的上市互联网安全公司FireEey(火眼)旗下的Mandiant services team(麦迪逊服务团队)发布了一份针对思科路由器前所未有的超级后门入侵事件调查报告:

他们发现了部分型号的思科路由器存在被黑客篡改路由器系统加入了超级后门,通过超级后门可以非常隐蔽地控制思科路由器,目前市面上还没有任何的网络安全软件能够检测到此类攻击。

此消息刚一爆出,就在我们业内中炸了锅。我们都知道思科是全球最著名的企业级网络设备提供商,大部分公司的核心网络设备使用的是思科的设备。如果一个企业的核心网关设备被黑,企业就没有任何安全可言,于是我们公司内的安全部门启动紧急预案,开始排查公司的思科路由器是否有可能被入侵。

大家都知道斯诺登爆料的美国“棱镜门”事件,美国政府对民众的上网行为进行监控。

这里采用的监控技术,就是对网络运营商的核心网络设备进行操控,对经过核心网络设备的所有网络数据镜像存储后分析。 普通 用户上网过程中所有数据都会通过互联网运营商的路由器, 如果互联网运营商的核心路由设备被黑,用户上网过程中的任何隐私数据就有可能被黑客窃取。

这次的超级后门事件被火眼公司命名为“SYNful Knock”,SYNful是一个生造的单词,我斗胆将其译为“原罪敲门”事件。我通读完 FireEey(火眼)的安全报告 后,略觉惊悚。

思科路由器的系统IOS(和苹果一个名字)从未对外正式开源(我这里都简称为IOS),这个系统就像一个黑盒子一样,是完全闭源的。早年在黑客圈中曾放出利用思科系统支持的TCL脚本制作的路由器后门技术,引起黑客们一片膜拜:

这种后门技术通常是用弱口令进入思科路由器执行一段脚本,监听一个非常明显的后门端口,连接后门端口对思科路由器进行控制,这种入侵手法可以被明显的发现。至此以后就并没有太高端的思科设备后门技术,而这次居然是外界无法发现的系统级后门!

因为这次超级后门事件除了火眼的报告,并没有太多的消息来源,所以我通过自己的经验对其进行一些技术分析:

这次的后门是系统级别的,换一个角度叙述可以让大家更容易理解。大家可以假想一下思科的设备有内置后门,而火眼的报告分析显示,黑客是通过隐蔽的报文远程控制思科路由器,要达到这种后门的技术必须对思科的IOS进行改写,更改有多种途径,比如:

一、黑客拥有思科操作系统的源代码,对源码进行重新编译,然后通过物理入侵手段给思科路由器刷新操作系统。

要达到这种效果,设备从原厂发出,如果不是原厂的内置后门,那么只有可能在各种中间分销途径加入后门,设备一旦进入企业后果不敢想象。

二、在思科路由器的IOS系统的升级镜像中加入了恶意代码。

路由器设备采购到企业后,一般工程师都会升级思科路由器的IOS系统,刚刚8月思科的官网曾发布一个 安全公告 ,我摘了关键的一句话给大家分析解释,英文是“Cisco IOS ROMMON (IOS bootstrap) with a malicious ROMMON image”,简单说就是思科发现有少量的升级镜像被加入了恶意代码,所以如果工程师升级思科路由器,可能升级是一个被人做手脚的系统镜像。这个恶意镜像的制作技术非常高端,毕竟IOS是闭源的。

除了这2个途径,想要对思路路由器进行无感知的远程植入后门,目前看可能性比较小,因为这种系统级别的篡改需要重启思科路由器,线上业务如果重启关键的网络核心设备是会惊动网络工程师的,当然也不排除这种微小的可能,有超级黑客能够远程对思科的系统进行无感知篡改。

如何防范呢?

这样的黑客入侵行为,虽然普通的安全网络工程师无法发觉,目前市面上也没有安全工具能够发现。但据说火眼的内部报告有 “原罪敲门”的入侵检测方法,现已经在网络上公布流传中,排查后门的方法大家可以搜索这份报告参考。如无法有效排查,我推荐使用可靠的镜像重装思科设备的操作系统。

希望本文能够引起大家对这次事件的重视,警惕“原罪敲门”。

随意打赏

提交建议
微信扫一扫,分享给好友吧。