安全公司FireEye前兩天剛剛發布報告稱在四個國家的14臺思科路由器上發現SYNful Knock后門程序，現在又發現79臺路由器存在相同后門。

[[149718]]

SYNful Knock 后門程序

安全研究人員為進一步調查受感染設備而對所有IPv4地址進行了掃描，這個被稱為SYNful Knock的后門應用程序，在收到一串特別的、不合標準的網絡數據包硬編碼密碼之后，后門被激活。通過向每一個網絡地址發送無序TCP數據包而非密碼便可監視應答，因此研究者發現了那些被感染的后門。

本周二，當FireEye第一次曝出SYNful Knock的活動時，震驚了整個安全世界。植入的后門完全與合法思科路由器映像大小相同，同時在每次路由器重啟時都會加載。它可支持高達100個模塊，攻擊者能夠根據特定目標加載不同功能的模塊。

在首次披露中，FireEye發現它在印度、墨西哥、菲律賓和烏克蘭的服務器上出現，共計14臺。這一驚人發現說明了一直以來偏向理論化的攻擊形式正逐步被積極運用。

而最新的研究結果顯示受害范圍其實遠遠不止四國，還包括美國、加拿大、英國、德國以及中國在內的19個國家。

研究人員寫道：

這一后門可通過指紋識別，我們便使用修改過的ZMap掃描工具發送特制的TCP SYN數據包，掃描了所有公共IPv4地址。在9月15日掃描的4個公共IPv4地址空間，發現了79臺主機存在與SYNful Knock后門相符的行為。這些路由器分布于19個國家的一系列機構中。值得注意的是，相比較IP地址的分配，非洲和亞洲植入后門的路由器數量驚人。而25臺受影響的美國路由器，都屬于同一個東海岸的網絡服務器供應商。而受影響的德國和黎巴嫩路由器供應商，同時也向非洲提供服務。

如何發現SYNful Knock后門

上圖便概括了本次研究結果;FireEye研究人員在博客中詳細解釋了如何檢測SNYful Knock后門。

研究人員使用網絡掃描工具Zmap進行了四次掃描。配置之后，便開始向每個地址發送設置為0xC123D和0的數據包，等待哪些響應序列號設置是0，緊急標志并沒有設置，緊急指針設置為0×0001。

“我們沒有用一個ACK數據包進行響應，而是發送RST。這并非利用漏洞進行登錄或者完成握手。這只是為了讓我們找出受感染的路由器。因為沒有植入后門的路由器并未設置緊急指針，并且只有1/232的概率選擇0作為序列號。”

目前可以確定的是SYNful Knock是一個經過專業開發并且功能完備的后門，可以影響的設備遠超FireEye此前的聲稱的數量。盡管受影響的設備中肯定有用于科學研究的蜜罐，用于幫助研究者尋找真正的幕后黑手以及發現后門是如何在路由器背后進行運作的。但是79臺設備都是誘餌的話，則似乎不太可能。目前FireEye沒有對這種可能性做出回應。

目前尚沒有證據顯示SYNful Knock后門利用了思科路由器中任何漏洞，FireEye高管表示這個后門背后的攻擊者——可能是有政府背景——似乎是利用了廠商設置的路由器默認密碼或者某種其他已知的攻擊方式。

研究者說，如果其他制造商的網絡設備感染了相似后門，一點都不奇怪。盡管截至目前，沒有證據表明來自其他制造商的設備可以感染這一后門，但是隨著研究人員掃描工作的持續進行，獲得支持這一理論的數據也只是時間問題。

解決方法

如果確定設備受到感染，最有效的緩解方法就是使用思科的干凈下載重新映像路由器。確定新映像的哈希值匹配，然后加固設備防止未來的攻擊。一定要更新設置、不要采用默認的，在確定路由器沒有受感染之后，也要關注其他網絡的安全。如果路由器沒有默認憑證，那么感染便是已經發生了，下一步需要做的便是影響評估。