Összefoglaló
A SYNful Knock egyfajta perzisztens malware, amely lehetővé teszi, hogy a támadó átvegye az irányítást az érintett eszközön, és megsértse annak integritását a támadó által módosított Cisco IOS szoftver segítségével.
Leírás
A malware egy hátsó kaput hoz létre az eszközön, képes az elérhetőséget korlátozni, és bizalmas adatokhoz hozzáférni egy szervezeten belül.
A támadónak az alábbi lehetőségei vannak:
- Különböző variációjú modulokat telepíthet észrevétlenül az internet felől
- Korlátlan hozzáférést szerezhet egy backdoor jelszó segítségével
- Nem HTTPS hanem HTTP protokollon keresztül tölthet át modulokat.
- Képes megfelelő számú nyugtázást biztosítani TCP csomagok nem szabványos sorozatokban való beküldésével.
- A modulok álcázott és független végrehajtható kódok vagy horgok a router IOS-én belül backdoor jelszó szerű funkcionalitással.
- A hátsó kapu jelszó hozzáférést biztosít a routerhez konzolon és telneten keresztül.
Észlelése:
A FireEye közétett egy listát hogyan detektálható a kártevő egy rendszerben:
- Host alapú
Akkor megfelelő, ha kevés az útválasztók száma és azok könnyen beazonosíthatóak. - Hálózat alapú
Azoknak a szervezeteknek hasznos, akiknek több szétszórt eszközük van, és nem képesek egy lokális pancsot kiadni majd megvárni a választ.
A legjobb választás azonban a kettő kombinációja lehet.
Host alapú azonosítás:
Parancssoros hozzáféréssel használja az alábbi parancsot az azonosításhoz:
„show platform | include RO, Valid”
Várható eredmény: a szoftverfrissített router nem ad választ
További parancsokat talál a http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html weboldalon.
Ebben az esetben a módosított IOS bináris olyan méretű, mint a hivatalos képfájl. Így amikor összehasonlítja a két fájlt az azonosnak tűnik. A cisco erre az esetre azt javasolja, hasonlítsa össze a két állomány hash-ét.
Hálózat alapú észlelés:
A passzív technikákat a hálózati érzékelőkre lehet építeni, míg az aktív technikákkal a hátsó kapu után kereshet.
Passzív technikák:
- „SYN”
- „SYN/ACK”
- „Malware response message”
- „Controller commands”
Aktív technikák
- „Nmap Scripting Engine (NSE)”
- „Estimated Worst-case Speed (this factors in high unused IP space)”
- „Python Detection Script”
- „Nping with flags”
Részletes leírást a hálózati alapú detektálásokról (SNORT szabályok, nmap, nping példa parancsok, pyton kód) a https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html weboldalon találhat.
Megoldás
A router firmware-jének cserélése gyári hivatalos verzióra.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.fireeye.com
Egyéb referencia: www.cisco.com
