SYNful Knock malware


2015. szeptember 21. 07:00

CH azonosító

CH-12626

Angol cím

SYNful Knock malware

Felfedezés dátuma

2015.09.14.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
IOS

Érintett verziók

Cisco 1841 router, Cisco 2811 router, and Cisco 3825 router.

Összefoglaló

A SYNful Knock egyfajta perzisztens malware, amely lehetővé teszi, hogy a támadó átvegye az irányítást az érintett eszközön, és megsértse annak integritását a támadó által módosított Cisco IOS szoftver segítségével.

Leírás

A malware egy hátsó kaput hoz létre az eszközön, képes az elérhetőséget korlátozni, és bizalmas adatokhoz hozzáférni egy szervezeten belül.

A támadónak az alábbi lehetőségei vannak:

  1. Különböző variációjú modulokat telepíthet észrevétlenül az internet felől
  2. Korlátlan hozzáférést szerezhet egy backdoor jelszó segítségével
  3. Nem HTTPS hanem HTTP protokollon keresztül tölthet át modulokat.
  4. Képes megfelelő számú nyugtázást biztosítani TCP csomagok nem szabványos sorozatokban való beküldésével.
  5. A modulok álcázott és független végrehajtható kódok vagy horgok a router IOS-én belül backdoor jelszó szerű funkcionalitással.
  6. A hátsó kapu jelszó hozzáférést biztosít a routerhez konzolon és telneten keresztül.

Észlelése:

A FireEye közétett egy listát hogyan detektálható a kártevő egy rendszerben:

  • Host alapú
    Akkor megfelelő, ha kevés az útválasztók száma és azok könnyen beazonosíthatóak.
  • Hálózat alapú
    Azoknak a szervezeteknek hasznos, akiknek több szétszórt eszközük van, és nem képesek egy lokális pancsot kiadni majd megvárni a választ.

A legjobb választás azonban a kettő kombinációja lehet.

Host alapú azonosítás:

Parancssoros hozzáféréssel használja az alábbi parancsot az azonosításhoz:

“show platform | include RO, Valid”

Várható eredmény: a szoftverfrissített router nem ad választ

További parancsokat talál a http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html weboldalon.

Ebben az esetben a módosított IOS bináris olyan méretű, mint a hivatalos képfájl. Így amikor összehasonlítja a két fájlt az azonosnak tűnik. A cisco erre az esetre azt javasolja, hasonlítsa össze a két állomány hash-ét.

Hálózat alapú észlelés:

A passzív technikákat a hálózati érzékelőkre lehet építeni, míg az aktív technikákkal a hátsó kapu után kereshet.

Passzív technikák:

  • “SYN”
  • “SYN/ACK”
  • “Malware response message”
  • “Controller commands” 

Aktív technikák

  • “Nmap Scripting Engine (NSE)”
  • “Estimated Worst-case Speed (this factors in high unused IP space)”
  • “Python Detection Script”
  • “Nping with flags”

Részletes leírást a hálózati alapú detektálásokról (SNORT szabályok, nmap, nping példa parancsok, pyton kód) a https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html weboldalon találhat.

Megoldás

A router firmware-jének cserélése gyári hivatalos verzióra.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.fireeye.com
Egyéb referencia: www.cisco.com

Legfrissebb sérülékenységek
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége
CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége
CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
Tovább a sérülékenységekhez »