新しいタイプのマルウェアに感染しているいくつかのCiscoルーターが最初に発見された後, 新しいスキャンは、ほとんど 200 世界中のシスコデバイスには、正規のIOSイメージの代わりに悪意のあるIOSイメージが配置されています. この上, バックドアが設定されています, 攻撃者に標的型ネットワークへのアクセスを許可する.
感染のタイムライン
それはすべて先週始まりました, 9月15日, によって行われた発見で FireEyeの研究者 それ 14 Ciscoルーターがマルウェアに感染した, それまでは理論上の脅威にすぎませんでした. デバイスはさまざまな企業に配置されていました, 4カ国で: インド, メキシコ, フィリピンとウクライナ.
翌日, ZMapの研究者 特別なTCPSYNパケットを使用してパブリックIPv4アドレス空間をスキャンした結果を投稿しました. 彼らは、「SYNfulKnockインプラントと一致する動作を示す79のホスト」を発見しました。. 彼らは次のように述べています。 19 国。」そして、「米国の25のホストは、東海岸の単一のサービスプロバイダーに属しています。, そしてそれは
ドイツとレバノンの両方のホストは、アフリカにカバレッジを提供する単一の衛星プロバイダーに属しています。」.
画像ソース: Zmap
二日前, Shadowserver Foundationは、シスコシステムとのコラボレーションによるスキャンの結果を投稿しました。. Shadowserverサイトの統計によると、感染したホストは「識別されたため、相対的な数です。 199 SYNfulKnockの動作に一致する一意のIPアドレス」および「163の一意のシステム」.
数は増え続けており、 30 影響を受ける国. 将来、感染したデバイスがさらにいくつ見つかるかはわかりません。.
SYNfulノックとは何ですか?
このマルウェアは、ルーターの多くのモジュールと機能を制御する方法から、「SYNfulKnockImplant」という名前が付けられました。. インプラントは、攻撃者がさまざまな機能モジュールを実行できるようにする変更されたCiscoIOSイメージで構成されています.
これらのモジュールは、ルーターのインターフェースに送信されるTCPパケットを使用してHTTPプロトコルを介して有効になります. この特定のプロセスは、開始してから完了する3ウェイハンドシェイクで構成されます. 独自に作成されたTCPSYNパケットがターゲットデバイスに送信されます, 次に、マルウェアは独自のTCPSYN-ACK確認メッセージで応答します, これは、偽造の3ウェイハンドシェイクプロセスを完了するための3番目のメッセージによって応答されます.
インプラントはまた、コンソールとTelnetを介して隠されたバックドアパスワードの助けを借りて無制限のアクセスを提供します. 現在影響を受けているCiscoルータモデルは次のとおりです。 1841, 2811, と 3825.
必読
200,000 HeartbleedBugによって脅かされているデバイス
Backdoor.ATM.Suceful Severe ATM Malware
SYNful Knockマルウェアは非常に深刻な脅威であり、検出が非常に困難です。. 更新可能, 最大利用 100 さまざまなモジュールがあり、感染したデバイスを再起動した後も機能し続けます. シスコシステムズ 顧客向けの関連イベントページを作成しました.
結論を出す理由はありません, でも, シスコのルーターのみが対象になっていること. 世界中に画像が変更された他のデバイスが存在する可能性があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: