[摘要]該結果是由一組計算機科學家發(fā)現(xiàn)的，他們對整個IPv4地址空間進行了清點。

據(jù)國外媒體報道，對思科路由器的秘密攻擊實際上比之前在媒體上報道的更為活躍。 19個國家的至少79臺路由器已被感染，其中包括美國互聯(lián)網(wǎng)服務提供商擁有的25臺路由器。在中國，發(fā)現(xiàn)三臺路由器被感染。

結果是由一群計算機科學家發(fā)現(xiàn)的，他們對整個IPv4地址空間進行了清點，以期識別所有受感染的設備。

據(jù)Ars周二稱，在路由器收到硬編碼密碼和一串不尋常的不合規(guī)網(wǎng)絡數(shù)據(jù)包后，所謂的SNYful Knock路由器植入被激活?？茖W家在不發(fā)送密碼的情況下向每個Internet地址發(fā)送無序TCP數(shù)據(jù)包，然后監(jiān)視另一方反饋的數(shù)據(jù)，以檢測哪些路由器被后門感染。

安全公司FireEye是第一個報告周二爆發(fā)SNYful Knock后門程序的人。植入物的大小與合法的Cisco路由器映像完全相同，并且每次路由器重新啟動時都會自動加載。它支持多達100個模塊供攻擊者在針對特定目標發(fā)起攻擊時使用。 FireEye在印度，墨西哥，菲律賓和烏克蘭的14臺服務器中找到了這個后門。

這是一個重大發(fā)現(xiàn)，因為它表明理論攻擊實際上已被主動激活。最近的研究表明，這種后門程序正在被更廣泛地使用，研究人員已經(jīng)在許多國家發(fā)現(xiàn)它，包括美國，加拿大，英國，德國和中國。

FireEye研究人員發(fā)表了一篇廣泛的文章，解釋了如何檢測和刪除SNYful Knock后門。

研究人員周二使用名為ZMap的互聯(lián)網(wǎng)掃描儀進行了為期四周的掃描。在向每個因特網(wǎng)地址發(fā)送0xC123D數(shù)字編碼和確認數(shù)字設置為0的無序數(shù)據(jù)包之后，監(jiān)視反饋信息，發(fā)現(xiàn)序列號設置為0，緊急標志恢復，緊急情況指針被設置為與0x0001的反饋信息對應的地址。

研究人員說：“我們沒有響應ACK數(shù)據(jù)包，但發(fā)送了一個RST數(shù)據(jù)包并關閉了連接。這不會觸發(fā)漏洞，嘗試登錄或完成通信握手。但是，這可以讓我們區(qū)分路由器來自沒有后門的路由器的惡意后門托管，因為沒有填充后門的路由器不設置緊急指針，只有兩個點。其中一個概率選擇0作為序列號。”

現(xiàn)在可以肯定的是，SYNful Knock是由專業(yè)人士開發(fā)的功能齊全的后門。感染此惡意程序的路由器幾乎肯定會主動感染更多設備。幸運的是，科學家監(jiān)測的許多設備都是蜜罐誘捕系統(tǒng)。

所謂的蜂蜜陷阱系統(tǒng)是指安全研究人員故意感染的路由器設備，以便找到攻擊背后的線索以及攻擊的執(zhí)行方式。在FireEye報告中感染的79個設備不太可能是陷阱設備。

根據(jù)FireEye周二的報告，目前沒有證據(jù)表明SYNful Knock利用了思科路由器中的漏洞。據(jù)FireEye高管稱，此類植入物背后的匿名攻擊者可能獲得州級資助。

研究人員表示，如果其他供應商的網(wǎng)絡設備感染了類似的后門，那就不足為奇了。到目前為止，沒有證據(jù)表明其他制造商的設備受到感染，但研究人員將繼續(xù)掃描互聯(lián)網(wǎng)，并可能找到證據(jù)證明這一想法的正確性。 （林敬東）

« 華興資本退出饑餓？融資草案是懸念：夸大融資金額？ | 跑步并沒有贏得摩爾定律，許多IT巨頭面臨著寒冷的冬天裁員 »