新聞中心

EEPW首頁(yè) > 手機(jī)與無(wú)線通信 > 業(yè)界動(dòng)態(tài) > 思科路由器超級(jí)后門被入侵 黑客如何竊取私密?

思科路由器超級(jí)后門被入侵 黑客如何竊取私密?

作者: 時(shí)間:2015-09-17 來(lái)源:雷鋒網(wǎng) 收藏
編者按:部分型號(hào)的思科路由器存在被黑客篡改路由器系統(tǒng)加入了超級(jí)后門,通過(guò)超級(jí)后門可以非常隱蔽地控制思科路由器,目前市面上還沒(méi)有任何的網(wǎng)絡(luò)安全軟件能夠檢測(cè)到此類攻擊。

  周二,美國(guó)著名的上市互聯(lián)網(wǎng)安全公司FireEye(火眼)旗下的Mandiant services team(麥迪安服務(wù)團(tuán)隊(duì))發(fā)布了一份針對(duì)前所未有的超級(jí)后門入侵事件調(diào)查報(bào)告。

本文引用地址:http://butianyuan.cn/article/280241.htm

  此消息剛一爆出,就在我們業(yè)內(nèi)中炸了鍋。我們都知道是全球最著名的企業(yè)級(jí)網(wǎng)絡(luò)設(shè)備提供商,大部分公司的核心網(wǎng)絡(luò)設(shè)備使用的是的設(shè)備。如果一個(gè)企業(yè)的核心網(wǎng)關(guān)設(shè)備被黑,企業(yè)就沒(méi)有任何安全可言,于是我們公司內(nèi)的安全部門啟動(dòng)緊急預(yù)案,開始排查公司的思科是否有可能被入侵。

  大家都知道斯諾登爆料的美國(guó)“棱鏡門”事件,美國(guó)政府對(duì)民眾的上網(wǎng)行為進(jìn)行監(jiān)控。

  這里采用的監(jiān)控技術(shù),就是對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商的核心網(wǎng)絡(luò)設(shè)備進(jìn)行操控,對(duì)經(jīng)過(guò)核心網(wǎng)絡(luò)設(shè)備的所有網(wǎng)絡(luò)數(shù)據(jù)鏡像存儲(chǔ)后分析。普通用戶上網(wǎng)過(guò)程中所有數(shù)據(jù)都會(huì)通過(guò)互聯(lián)網(wǎng)運(yùn)營(yíng)商的,如果互聯(lián)網(wǎng)運(yùn)營(yíng)商的核心路由設(shè)備被黑,用戶上網(wǎng)過(guò)程中的任何隱私數(shù)據(jù)就有可能被黑客竊取。

  這次的超級(jí)后門事件被火眼公司命名為“SYNful Knock”,SYNful是一個(gè)生造的單詞,我斗膽將其譯為“原罪敲門”事件。我通讀完FireEye(火眼)的安全報(bào)告后,略覺(jué)驚悚。

  思科路由器的系統(tǒng)IOS(和蘋果一個(gè)名字)從未對(duì)外正式開源(我這里都簡(jiǎn)稱為IOS),這個(gè)系統(tǒng)就像一個(gè)黑盒子一樣,是完全閉源的。早年在黑客圈中曾放出利用思科系統(tǒng)支持的TCL腳本制作的路由器后門技術(shù),引起黑客們一片膜拜:

  這種后門技術(shù)通常是用弱口令進(jìn)入思科路由器執(zhí)行一段腳本,監(jiān)聽一個(gè)非常明顯的后門端口,連接后門端口對(duì)思科路由器進(jìn)行控制,這種入侵手法可以被明顯的發(fā)現(xiàn)。至此以后就并沒(méi)有太高端的思科設(shè)備后門技術(shù),而這次居然是外界無(wú)法發(fā)現(xiàn)的系統(tǒng)級(jí)后門!

  因?yàn)檫@次超級(jí)后門事件除了火眼的報(bào)告,并沒(méi)有太多的消息來(lái)源,所以我通過(guò)自己的經(jīng)驗(yàn)對(duì)其進(jìn)行一些技術(shù)分析:

  這次的后門是系統(tǒng)級(jí)別的,換一個(gè)角度敘述可以讓大家更容易理解。大家可以假想一下思科的設(shè)備有內(nèi)置后門,而火眼的報(bào)告分析顯示,黑客是通過(guò)隱蔽的報(bào)文遠(yuǎn)程控制思科路由器,要達(dá)到這種后門的技術(shù)必須對(duì)思科的IOS進(jìn)行改寫,更改有多種途徑,比如:

  一、黑客擁有思科操作系統(tǒng)的源代碼,對(duì)源碼進(jìn)行重新編譯,然后通過(guò)物理入侵手段給思科路由器刷新操作系統(tǒng)。

  要達(dá)到這種效果,設(shè)備從原廠發(fā)出,如果不是原廠的內(nèi)置后門,那么只有可能在各種中間分銷途徑加入后門,設(shè)備一旦進(jìn)入企業(yè)后果不敢想象。

  二、在思科路由器的IOS系統(tǒng)的升級(jí)鏡像中加入了惡意代碼。

  路由器設(shè)備采購(gòu)到企業(yè)后,一般工程師都會(huì)升級(jí)思科路由器的IOS系統(tǒng),剛剛8月思科的官網(wǎng)曾發(fā)布一個(gè)安全公告,我摘了關(guān)鍵的一句話給大家分析解釋,英文是“Cisco IOS ROMMON (IOS bootstrap) with a malicious ROMMON image”,簡(jiǎn)單說(shuō)就是思科發(fā)現(xiàn)有少量的升級(jí)鏡像被加入了惡意代碼,所以如果工程師升級(jí)思科路由器,可能升級(jí)是一個(gè)被人做手腳的系統(tǒng)鏡像。這個(gè)惡意鏡像的制作技術(shù)非常高端,畢竟IOS是閉源的。

  除了這2個(gè)途徑,想要對(duì)思路路由器進(jìn)行無(wú)感知的遠(yuǎn)程植入后門,目前看可能性比較小,因?yàn)檫@種系統(tǒng)級(jí)別的篡改需要重啟思科路由器,線上業(yè)務(wù)如果重啟關(guān)鍵的網(wǎng)絡(luò)核心設(shè)備是會(huì)驚動(dòng)網(wǎng)絡(luò)工程師的,當(dāng)然也不排除這種微小的可能,有超級(jí)黑客能夠遠(yuǎn)程對(duì)思科的系統(tǒng)進(jìn)行無(wú)感知篡改。

  如何防范呢?

  這樣的黑客入侵行為,雖然普通的安全網(wǎng)絡(luò)工程師無(wú)法發(fā)覺(jué),目前市面上也沒(méi)有安全工具能夠發(fā)現(xiàn)。但據(jù)說(shuō)火眼的內(nèi)部報(bào)告有“原罪敲門”的入侵檢測(cè)方法,現(xiàn)已經(jīng)在網(wǎng)絡(luò)上公布流傳中,排查后門的方法大家可以搜索這份報(bào)告參考。如無(wú)法有效排查,我推薦使用可靠的鏡像重裝思科設(shè)備的操作系統(tǒng)。

  希望本文能夠引起大家對(duì)這次事件的重視,警惕“原罪敲門”。

路由器相關(guān)文章:路由器工作原理


路由器相關(guān)文章:路由器工作原理




關(guān)鍵詞: 思科 路由器

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉