Как минимум 79 маршрутизаторов инфицированы SYNful Knock

15 сентября компании Mandiant и FireEye опубликовали информацию о вредоносном ПО SYNful Knock, обнаруженном в 14 маршрутизаторах Cisco в Индии, Мексике, Филиппинах и Украине. Вредонос модифицировал прошивку Cisco и предоставлял злоумышленникам неограниченный доступ к сетевому оборудованию, включая возможность загружать дополнительные модули.

Команде исследователей из Университета Мичигана, Университета Беркли и Международного центра компьютерных наук Университета Беркли удалось отследить оставшиеся имплантаты. Не активируя саму уязвимость, эксперты обнаружили по меньшей мере 79 маршрутизаторов в 19 странах со схожими паттернами поведения, что дает повод предполагать, что в них также установлен вредонос SYNful Knock.

Наибольшее количество инфицированных роутеров специалисты обнаружили в США — 25. На втором месте оказался Ливан с 12 маршрутизаторами, на третье место попала Россия с 8 устройствами. Отмечается, что все 25 хостов в США принадлежат одному интернет-провайдеру, действующему на территории Восточного побережья.

Атакующие могут активировать бэкдор с помощью специально сформированного нестандартного хендшейка TCP. Как только он будет осуществлен, злоумышленник сможет использовать специальный логин для входа в административную консоль и загрузки новых модулей для атаки. Клиент специально отсылает TCP SYN-пакет на 80 порт скомпрометированых хостов. Разница между номером последовательности TCP и подтверждающим номером равна 0xC123D. Инфицированный роутер передает ответ с пакетом SYN+ACK, где:

  • номер подтверждения клиента копируется в изначальный номер последовательности маршрутизатора. Обычно роутер генерирует случайное 32-битное число;
  • срочный указатель равен 0х0001, но срочный флаг не установлен. Согласно спецификациям TCP, срочный указатель должен сопровождаться срочным флагом;
  • статически установлены следующие опции TCP: 02 04 05 b4 01 01 04 02 01 03 03 05.

Клиент завершает хендшейк путем отправки специально сформированного пакета ACK с установленными флагами PUSH и ACK, ASCII-строкой «text» по адресу 0х62 в пакете TCP.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s