SYNful Knock malware

CH azonosító

CH-12626

Angol cím

SYNful Knock malware

Felfedezés dátuma

2015.09.14.

Súlyosság

Alacsony

Érintett rendszerek

CISCO
IOS

Érintett verziók

Cisco 1841 router, Cisco 2811 router, and Cisco 3825 router.

Összefoglaló

A SYNful Knock egyfajta perzisztens malware, amely lehetővé teszi, hogy a támadó átvegye az irányítást az érintett eszközön, és megsértse annak integritását a támadó által módosított Cisco IOS szoftver segítségével.

Leírás

A malware egy hátsó kaput hoz létre az eszközön, képes az elérhetőséget korlátozni, és bizalmas adatokhoz hozzáférni egy szervezeten belül.

A támadónak az alábbi lehetőségei vannak:

  1. Különböző variációjú modulokat telepíthet észrevétlenül az internet felől
  2. Korlátlan hozzáférést szerezhet egy backdoor jelszó segítségével
  3. Nem HTTPS hanem HTTP protokollon keresztül tölthet át modulokat.
  4. Képes megfelelő számú nyugtázást biztosítani TCP csomagok nem szabványos sorozatokban való beküldésével.
  5. A modulok álcázott és független végrehajtható kódok vagy horgok a router IOS-én belül backdoor jelszó szerű funkcionalitással.
  6. A hátsó kapu jelszó hozzáférést biztosít a routerhez konzolon és telneten keresztül.

Észlelése:

A FireEye közétett egy listát hogyan detektálható a kártevő egy rendszerben:

  • Host alapú
    Akkor megfelelő, ha kevés az útválasztók száma és azok könnyen beazonosíthatóak.
  • Hálózat alapú
    Azoknak a szervezeteknek hasznos, akiknek több szétszórt eszközük van, és nem képesek egy lokális pancsot kiadni majd megvárni a választ.

A legjobb választás azonban a kettő kombinációja lehet.

Host alapú azonosítás:

Parancssoros hozzáféréssel használja az alábbi parancsot az azonosításhoz:

“show platform | include RO, Valid”

Várható eredmény: a szoftverfrissített router nem ad választ

További parancsokat talál a http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html weboldalon.

Ebben az esetben a módosított IOS bináris olyan méretű, mint a hivatalos képfájl. Így amikor összehasonlítja a két fájlt az azonosnak tűnik. A cisco erre az esetre azt javasolja, hasonlítsa össze a két állomány hash-ét.

Hálózat alapú észlelés:

A passzív technikákat a hálózati érzékelőkre lehet építeni, míg az aktív technikákkal a hátsó kapu után kereshet.

Passzív technikák:

  • “SYN”
  • “SYN/ACK”
  • “Malware response message”
  • “Controller commands” 

Aktív technikák

  • “Nmap Scripting Engine (NSE)”
  • “Estimated Worst-case Speed (this factors in high unused IP space)”
  • “Python Detection Script”
  • “Nping with flags”

Részletes leírást a hálózati alapú detektálásokról (SNORT szabályok, nmap, nping példa parancsok, pyton kód) a https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html weboldalon találhat.

Megoldás

A router firmware-jének cserélése gyári hivatalos verzióra.