Cisco 路由器后门 SYNful Knock

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

<p><strong>影响范围涉及4个国家及常见型号</strong></p><p>通常来说,思科路由器的植入后门以前经常被认为是理论可行或较难实现,但近日有国外安全公司Fireeye发现这种针对路由器的植入式后门正悄然流行,涉及Cisco 1841/Cisco 2811/Cisco 3825路由器及其他常见型号。目前发现在乌克兰、菲律宾、墨西哥和印度这4个国家中正有至少14个类似的植入后门在传播。</p><p><strong>通过弱口令登录替换思科路由器固件</strong></p><p>这个后门是通过修改思科路由器的固件植入恶意代码实现的,类似病毒感染正常文件。攻击者需要通过其他途径将这个后门固件上传或者加载到目标路由器上。目前看攻击者并没有利用任何的0day<a href="http://blog.nsfocus.net/category/%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90/" target="_blank">漏洞</a>来上传固件,而是利用路由器的缺省口令或者弱口令来登录路由器,然后上传后门固件,替换原有正常固件。只要路由器管理员不升级固件,攻击者就可以持久获得对路由器的长期控制。</p><p><strong>将僵尸木马的手法移植到路由器上</strong></p><p>这个后门植入了一个万能后门口令,攻击者可以利用这个后门口令通过telnet或者控制台登录路由器。它还采用了动态加载模块的技术,可以非常方便的随时加载新的恶意功能模块,在Windows/Unix系统下的僵尸木马网络中这已是很常见的技术了,但用在路由器后门中还是比较少见。每个模块都可以通过HTTP协议来更新、加载和删除。</p><p>这个后门被命名为” SYNful Knock”,可能是因为后门的网络控制功能(CnC)会通过一个特殊的TCP SYN包来触发。</p><h2>思科路由器植入后门的技术细节</h2><p>这个后门通过篡改一个正常的Cisco IOS映像文件来植入恶意功能,主要的修改操作包括:</p><ul><li>修改所有translation lookaside buffer...

0%
暂无可用Exp或PoC
当前有0条受影响产品信息