转载

更多思科路由器发现后门：中国有4台

安全公司FireEye前两天刚刚发布报告称在四个国家的14台思科路由器上发现SYNful Knock后门程序，现在又发现79台路由器存在相同后门。

SYNful Knock 后门程序

安全研究人员为进一步调查受感染设备而对所有IPv4地址进行了扫描，这个被称为SYNful Knock的后门应用程序，在收到一串特别的、不合标准的网络数据包硬编码密码之后，后门被激活。通过向每一个网络地址发送无序TCP数据包而非密码便可监视应答，因此研究者发现了那些被感染的后门。

本周二，当FireEye第一次曝出SYNful Knock的活动时，震惊了整个安全世界。植入的后门完全与合法思科路由器映像大小相同，同时在每次路由器重启时都会加载。它可支持高达100个模块，攻击者能够根据特定目标加载不同功能的模块。

在首次披露中，FireEye发现它在印度、墨西哥、菲律宾和乌克兰的服务器上出现，共计14台。这一惊人发现说明了一直以来偏向理论化的攻击形式正逐步被积极运用。

而最新的研究结果显示受害范围其实远远不止四国，还包括美国、加拿大、英国、德国以及中国在内的19个国家。研究人员写道：

这一后门可通过指纹识别，我们便使用修改过的ZMap扫描工具发送特制的TCP SYN数据包，扫描了所有公共IPv4地址。在9月15日扫描的4个公共IPv4地址空间，发现了79台主机存在与SYNful Knock后门相符的行为。这些路由器分布于19个国家的一系列机构中。值得注意的是，相比较IP地址的分配，非洲和亚洲植入后门的路由器数量惊人。而25台受影响的美国路由器，都属于同一个东海岸的网络服务器供应商。而受影响的德国和黎巴嫩路由器供应商，同时也向非洲提供服务。

如何发现SYNful Knock后门

更多思科路由器发现后门：中国有4台

上图便概括了本次研究结果；FireEye研究人员在博客中详细解释了如何检测SNYful Knock后门。

研究人员使用网络扫描工具Zmap 进行了四次扫描。配置之后，便开始向每个地址发送设置为0xC123D和0的数据包，等待哪些响应序列号设置是0，紧急标志并没有设置，紧急指针设置为0×0001。

“我们没有用一个ACK数据包进行响应，而是发送RST。这并非利用漏洞进行登录或者完成握手。这只是为了让我们找出受感染的路由器。因为没有植入后门的路由器并未设置紧急指针，并且只有1/232的概率选择0作为序列号。”

目前可以确定的是SYNful Knock是一个经过专业开发并且功能完备的后门，可以影响的设备远超FireEye此前的声称的数量。尽管受影响的设备中肯定有用于科学研究的蜜罐，用于帮助研究者寻找真正的幕后黑手以及发现后门是如何在路由器背后进行运作的。但是79台设备都是诱饵的话，则似乎不太可能。目前FireEye没有对这种可能性做出回应。