日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

安全公司FireEye前兩天剛剛發(fā)布報(bào)告稱在四個(gè)國(guó)家的14臺(tái)思科路由器上發(fā)現(xiàn)SYNful Knock后門(mén)程序，現(xiàn)在又發(fā)現(xiàn)79臺(tái)路由器存在相同后門(mén)。

10年的新華網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。全網(wǎng)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整新華建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。成都創(chuàng)新互聯(lián)從事“新華網(wǎng)站設(shè)計(jì)”,“新華網(wǎng)站推廣”以來(lái)，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

SYNful Knock 后門(mén)程序

安全研究人員為進(jìn)一步調(diào)查受感染設(shè)備而對(duì)所有IPv4地址進(jìn)行了掃描，這個(gè)被稱為SYNful Knock的后門(mén)應(yīng)用程序，在收到一串特別的、不合標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包硬編碼密碼之后，后門(mén)被激活。通過(guò)向每一個(gè)網(wǎng)絡(luò)地址發(fā)送無(wú)序TCP數(shù)據(jù)包而非密碼便可監(jiān)視應(yīng)答，因此研究者發(fā)現(xiàn)了那些被感染的后門(mén)。

本周二，當(dāng)FireEye第一次曝出SYNful Knock的活動(dòng)時(shí)，震驚了整個(gè)安全世界。植入的后門(mén)完全與合法思科路由器映像大小相同，同時(shí)在每次路由器重啟時(shí)都會(huì)加載。它可支持高達(dá)100個(gè)模塊，攻擊者能夠根據(jù)特定目標(biāo)加載不同功能的模塊。

在首次披露中，F(xiàn)ireEye發(fā)現(xiàn)它在印度、墨西哥、菲律賓和烏克蘭的服務(wù)器上出現(xiàn)，共計(jì)14臺(tái)。這一驚人發(fā)現(xiàn)說(shuō)明了一直以來(lái)偏向理論化的攻擊形式正逐步被積極運(yùn)用。

而最新的研究結(jié)果顯示受害范圍其實(shí)遠(yuǎn)遠(yuǎn)不止四國(guó)，還包括美國(guó)、加拿大、英國(guó)、德國(guó)以及中國(guó)在內(nèi)的19個(gè)國(guó)家。

研究人員寫(xiě)道：

這一后門(mén)可通過(guò)指紋識(shí)別，我們便使用修改過(guò)的ZMap掃描工具發(fā)送特制的TCP SYN數(shù)據(jù)包，掃描了所有公共IPv4地址。在9月15日掃描的4個(gè)公共IPv4地址空間，發(fā)現(xiàn)了79臺(tái)主機(jī)存在與SYNful Knock后門(mén)相符的行為。這些路由器分布于19個(gè)國(guó)家的一系列機(jī)構(gòu)中。值得注意的是，相比較IP地址的分配，非洲和亞洲植入后門(mén)的路由器數(shù)量驚人。而25臺(tái)受影響的美國(guó)路由器，都屬于同一個(gè)東海岸的網(wǎng)絡(luò)服務(wù)器供應(yīng)商。而受影響的德國(guó)和黎巴嫩路由器供應(yīng)商，同時(shí)也向非洲提供服務(wù)。

如何發(fā)現(xiàn)SYNful Knock后門(mén)

上圖便概括了本次研究結(jié)果;FireEye研究人員在博客中詳細(xì)解釋了如何檢測(cè)SNYful Knock后門(mén)。

研究人員使用網(wǎng)絡(luò)掃描工具Zmap進(jìn)行了四次掃描。配置之后，便開(kāi)始向每個(gè)地址發(fā)送設(shè)置為0xC123D和0的數(shù)據(jù)包，等待哪些響應(yīng)序列號(hào)設(shè)置是0，緊急標(biāo)志并沒(méi)有設(shè)置，緊急指針設(shè)置為0×0001。

“我們沒(méi)有用一個(gè)ACK數(shù)據(jù)包進(jìn)行響應(yīng)，而是發(fā)送RST。這并非利用漏洞進(jìn)行登錄或者完成握手。這只是為了讓我們找出受感染的路由器。因?yàn)闆](méi)有植入后門(mén)的路由器并未設(shè)置緊急指針，并且只有1/232的概率選擇0作為序列號(hào)?！?/p>

目前可以確定的是SYNful Knock是一個(gè)經(jīng)過(guò)專業(yè)開(kāi)發(fā)并且功能完備的后門(mén)，可以影響的設(shè)備遠(yuǎn)超F(xiàn)ireEye此前的聲稱的數(shù)量。盡管受影響的設(shè)備中肯定有用于科學(xué)研究的蜜罐，用于幫助研究者尋找真正的幕后黑手以及發(fā)現(xiàn)后門(mén)是如何在路由器背后進(jìn)行運(yùn)作的。但是79臺(tái)設(shè)備都是誘餌的話，則似乎不太可能。目前FireEye沒(méi)有對(duì)這種可能性做出回應(yīng)。

目前尚沒(méi)有證據(jù)顯示SYNful Knock后門(mén)利用了思科路由器中任何漏洞，F(xiàn)ireEye高管表示這個(gè)后門(mén)背后的攻擊者——可能是有政府背景——似乎是利用了廠商設(shè)置的路由器默認(rèn)密碼或者某種其他已知的攻擊方式。

研究者說(shuō)，如果其他制造商的網(wǎng)絡(luò)設(shè)備感染了相似后門(mén)，一點(diǎn)都不奇怪。盡管截至目前，沒(méi)有證據(jù)表明來(lái)自其他制造商的設(shè)備可以感染這一后門(mén)，但是隨著研究人員掃描工作的持續(xù)進(jìn)行，獲得支持這一理論的數(shù)據(jù)也只是時(shí)間問(wèn)題。

解決方法

如果確定設(shè)備受到感染，最有效的緩解方法就是使用思科的干凈下載重新映像路由器。確定新映像的哈希值匹配，然后加固設(shè)備防止未來(lái)的攻擊。一定要更新設(shè)置、不要采用默認(rèn)的，在確定路由器沒(méi)有受感染之后，也要關(guān)注其他網(wǎng)絡(luò)的安全。如果路由器沒(méi)有默認(rèn)憑證，那么感染便是已經(jīng)發(fā)生了，下一步需要做的便是影響評(píng)估。

當(dāng)前名稱：更多思科路由器發(fā)現(xiàn)后門(mén)：中國(guó)有4臺(tái)
標(biāo)題網(wǎng)址：http://www.dlmjj.cn/article/dhcdgep.html