9月21日報道，據(jù)國外媒體消息稱，針對思科路由器的秘密攻擊其實比之前媒體報道的情況更活躍，至少有19個國家的79臺路由器受到了感染，其中包括美國一家互聯(lián)網(wǎng)服務(wù)供應(yīng)商擁有的25臺路由器，中國則被發(fā)現(xiàn)有3臺路由器受到了感染。

這一結(jié)果是由一群計算機科學家發(fā)現(xiàn)的，他們對整個IPv4地址空間進行了清查，希望找出所有被感染的設(shè)備。

根據(jù)Ars周二的報道，所謂的SNYful Knock路由器植入體是在路由器先后接到一個硬編碼密碼和一串不同尋常的非相容型網(wǎng)絡(luò)數(shù)據(jù)包之后被激活的。科學家們向每一個互聯(lián)網(wǎng)地址發(fā)送失序TCP數(shù)據(jù)包而不發(fā)送密碼，然后監(jiān)控對方反饋的數(shù)據(jù)，據(jù)此檢測出哪些路由器受到了后門程序的感染。

安全公司FireEye在本周二率先報告了SNYful Knock后門程序爆發(fā)的消息。植入物的大小與合法思科路由器鏡像完全一樣，而且它會在路由器每次重啟時自動加載。它最多支持100個模塊，供攻擊者在針對特定目標發(fā)動攻擊時使用。FireEye在印度、墨西哥、菲律賓和烏克蘭等地的一共14臺服務(wù)器上發(fā)現(xiàn)了這個后門程序的蹤影。

這是一項重大發(fā)現(xiàn)，因為它表明理論化的攻擊實際上早就被積極啟用了。最新研究表明，這種后門程序正在被更廣泛地使用，研究人員已經(jīng)在包括美國、加拿大、英國、德國和中國在內(nèi)的很多國家發(fā)現(xiàn)了它的存在。

FireEye公司的研究人員發(fā)表了一篇內(nèi)容詳盡的文章來解釋如何檢測和清除SNYful Knock后門程序。

研究員們周二利用一款名為ZMap的互聯(lián)網(wǎng)掃描程序進行了4次掃描，在向每一個互聯(lián)網(wǎng)地址發(fā)送了帶有0xC123D數(shù)字編碼的失序數(shù)據(jù)包和被設(shè)定為0的確認數(shù)字碼之后，他們對反饋信息進行了監(jiān)控，找出了序列數(shù)字被設(shè)置為0，緊急標志被復原和緊急指針被設(shè)置為0x0001的反饋信息對應(yīng)的地址。

研究員們說：“我們沒有回應(yīng)ACK數(shù)據(jù)包，而是發(fā)送了一個RST數(shù)據(jù)包，關(guān)閉了連接。這不會激發(fā)漏洞，嘗試登錄或完成通訊握手。然而，這可以讓我們將被植入了惡意后門程序的路由器與沒有被植入后門程序的路由器區(qū)分開來，因為沒有被植入過后門程序的路由器不會去設(shè)置緊急指針，而且只有二分之一的概率選擇以0作為序列數(shù)字。”

現(xiàn)在可以肯定的是，SYNful Knock是一種由專業(yè)人士開發(fā)的、功能齊備的后門程序，感染了這種惡意程序的路由器幾乎肯定會積極地去感染更多的設(shè)備。幸好科學家們監(jiān)視的很多設(shè)備都是蜜罐誘捕系統(tǒng)。

所謂蜜罐誘捕系統(tǒng)指的是安全研究員們?yōu)榱藢ふ夜舯澈蟮木€索和攻擊的執(zhí)行方式而故意感染的路由器設(shè)備。FireEye報告中提到的已經(jīng)受到感染的79臺設(shè)備不大可能都是誘捕設(shè)備。

據(jù)FireEye周二報告稱，目前尚無證據(jù)表明SYNful Knock利用了思科路由器中的漏洞。據(jù)FireEye的高管稱，這種植入物背后的匿名攻擊者可能得到了國家級別的資助。

研究員們表示，如果其他廠商的連網(wǎng)設(shè)備也受到了類似后門程序的感染，那并不會令人感到意外。到目前為止，還沒有發(fā)現(xiàn)其他廠商的設(shè)備受到感染的證據(jù)，但是研究員們將繼續(xù)掃描互聯(lián)網(wǎng)，也許會發(fā)現(xiàn)證明這一理念的正確性的證據(jù)。