新しいシスコルータのバックドアの分析と保護

新しいシスコルータのバックドアの分析と保護

Cisco ルータは国内で広く使用されており、企業ネットワークを接続するコア コンポーネントとしてよく使用されます。しかし、最近出現した新しいシスコ ルーターのバックドアは、企業のセキュリティに深刻な脅威をもたらしています。 Cisco ルーターの「SYNful Knock」バックドア事件は業界にパニックを引き起こし、多くの人が緊急対策に取り組み始めました。

影響範囲は4か国と共通モデルに及ぶ

一般的に、Cisco ルーターにバックドアを埋め込むことは、理論的には可能でも実装が困難であると考えられてきました。しかし、最近、海外のセキュリティ企業 FireEye は、Cisco 1841/Cisco 2811/Cisco 3825 ルーターやその他の一般的なモデルに関係する、このタイプのルーターに埋め込まれたバックドアが密かに普及しつつあることを発見しました。ウクライナ、フィリピン、メキシコ、インドの4カ国で、少なくとも14の同様のバックドアが拡散していることが判明した。

ほとんどの企業がコアネットワーク機器として Cisco ルーターを使用していることを知っておく必要があります。企業のコアゲートウェイデバイスがハッキングされると、企業ネットワークの出入り口を制御できるだけでなく、過去の情報も改ざん・偽装され、被害が拡大します。

弱いパスワードでログインしてCiscoルーターのファームウェアを交換する

このバックドアは、ウイルスが通常のファイルに感染するのと同様に、Cisco ルーターのファームウェアを変更して悪意のあるコードを埋め込むことによって実装されます。攻撃者は、他の手段を使用して、このバックドア ファームウェアをターゲット ルーターにアップロードまたはロードする必要があります。現時点では、攻撃者はファームウェアをアップロードする際にゼロデイ脆弱性を利用したのではなく、ルーターのデフォルトパスワードまたは弱いパスワードを使用してルーターにログインし、バックドアファームウェアをアップロードして元の正常なファームウェアを置き換えたようです。ルーターの管理者がファームウェアをアップグレードしない限り、攻撃者はルーターを長期にわたって制御し続けることができます。

バックドアは、通常のファイルに感染するウイルスに似ています。攻撃者は、さまざまなチャネルを通じて、バックドアをターゲットのルーターにアップロードまたはロードする必要があります。また、高度なテクノロジーを使用しているため、いつでも新しいバックドア機能を追加できます。このアプローチは、すべてのコンピュータに存在するゾンビトロイの木馬と非常によく似ていますが、ルーターのバックドアで使用されることは比較的まれです。このバックドアは、おそらくバックドアのネットワーク制御機能に特別なマークがあるため、「SYNful Knock」と名付けられました。

ゾンビトロイの木馬の戦術をルーターに移植

このバックドアにはユニバーサル バックドア パスワードが埋め込まれており、攻撃者はこれを使用して Telnet またはコンソール経由でルーターにログインできます。また、動的モジュール読み込み技術も使用されており、いつでも簡単に新しい悪意のある機能モジュールを読み込むことができます。これは、Windows/Unix システムのゾンビトロイの木馬ネットワークでは非常に一般的な技術ですが、ルーターのバックドアで使用されることは比較的まれです。各モジュールは、HTTP プロトコルを介して更新、ロード、削除できます。

このバックドアは「SYNful Knock」と名付けられました。これは、バックドアのネットワーク制御機能 (CnC) が特殊な TCP SYN パケットによってトリガーされることに由来していると考えられます。

Cisco ルータへのバックドア埋め込みの技術的詳細

(実際のサンプルは入手されていないため、このセクションの技術的な詳細は FireEye の関連技術レポートからのものであり、参考用です)

このバックドアは、通常の Cisco IOS イメージ ファイルを改ざんして悪意のある機能を埋め込みます。主な変更操作は次のとおりです。

すべてのトランスレーション ルックアサイド バッファ (TLB) の属性を読み取り/書き込み (RW) に変更します。

通常の IOS イメージ ファイルでは、一部の TLB 属性は読み取り専用 (RO) ですが、このバックドアはすべての TLB の属性を読み取り/書き込み (RW) に設定し、IOS 関数をフックしてモジュールをロードするために使用される可能性があります。 TLB 属性が読み取り/書き込み (RW) でない場合、キャッシュされたメモリ ページへの変更はメイン メモリ内の元のメモリ ページに同期できません。 「show platform」コマンドを使用して、TLB 属性を確認できます。すべての TLB 属性が RW に設定されている場合は、システムに悪意のあるバックドアが埋め込まれている可能性があります。

プロセス スケジューリングに関連する関数エントリが、悪意のあるコードを指すように変更されたと考えられます。コードはマルウェアの初期化を完了した後、元の通常の関数を実行しました。この関数が選択された理由は、システムが再起動されるたびに呼び出され、攻撃者が永続的な制御を取得できるようにするためです。

通常のプロトコル処理関数の一部を悪意のあるコードで書き換える

画像ファイルのサイズが変更されないようにするために、このバックドアは元の通常の機能コードの一部を悪意のあるコードに直接置き換えます。

通常の関数で使用される文字列を悪意のあるコードに必要な文字列で上書きする

攻撃者は、サイズの変更を防ぐために、通常の関数で使用される文字列を CnC 通信で使用される一部の文字列に直接置き換えます。これにより、一部の通常の IOS コマンドを実行するときに、次の異常な結果が返される可能性があります。

バックドアコマンド

攻撃者はバックドア イメージにユニバーサル パスワードを埋め込み、通常のパスワード制限を回避していつでもシステムにログインできるようにしました。このバックドア パスワードは、コンソール、Telnet、または enable (管理者に昇格した場合) を通じて入力できます。一致が見つかった場合、攻撃者に管理者権限が付与されます。一致しない場合は、通常のパスワード チェック プロセスが続行されます。現在、SSH または HTTPS 経由でログインするときにバックドア パスワードは設定されていません。

ネットワークコマンドアンドコントロール(CnC)

このバックドアもコマンド制御を完了するためにモジュール方式を使用しており、悪意のある関数をいつでもルーターにロードして実行することができます。これはルーターのバックドアでは比較的まれです。これにより、マルウェアのスケーラビリティが大幅に向上します。ルーターを再起動すると、ロードされた悪意のあるモジュールはすべて消え、攻撃者は悪意のあるモジュールを再度アップロードする必要があります。

攻撃者は、いくつかの特別な TCP パケットを送信することで CnC 制御を有効にします。ルーター管理者がフィルタリング ポリシーを設定しても、バックドアはこれらのパケットを受信して​​処理します。

CnC コマンド形式

バックドアは、モジュール ステータスの表示、モジュール ロード用のメモリの割り当て、モジュールのロード、モジュールのアクティブ化、モジュールのアンロードなど、5 つの制御コマンドをサポートしています。最大 100 個のモジュールをロードできます。

保護方法

海外メーカーの一般的な保護方法

脆弱性があるのでパッチを当ててアップグレードしてください!ただし、実際の運用環境では、実装には次のような課題が生じます。

1. セキュリティニーズが弱い小規模顧客にとっては特に困難

2. セキュリティ要件が厳しい小規模の顧客はこのポリシーを実装できますが、修正期間は非常に長くなります。

3. ビジネス チェーン全体の停止を伴うため、セキュリティ要件が弱い大規模な顧客にとっては特に困難です。

4. セキュリティ要件が厳しい大規模顧客の場合は実行可能ですが、修正期間が特に長く、範囲が広範囲にわたります。

NSFOCUSが推奨する保護方法

NSFOCUS は、地上保護に 1 つのベンチマークと 3 つのステージを使用することを推奨しています。 1 つのベンチマーク、リスク サーフェスをリスク ポイントに変換します。3 つの段階、設計と実装、試運転と検収、長期運用と保守に分かれています。プロジェクト実施プロセスの各部分には多くの詳細が含まれており、以下に簡単な概要のみを示します。

設計と実装

1. システム内のシスコデバイスの数と、リスクを特定するために統合ポリシー管理に含める必要がある他のメーカーのデバイスのコレクションを数えます。

2. 設計時に地域分離が使用される:管理ドメインと本番ドメインは厳密に分離され(VLANテクノロジーとファイアウォール)、リスク管理を実現します。

3. 管理ドメインは要塞ホストの統一管理を実現し、要塞ホストに関連するパスワードポリシーを設定してリスク移転を実現します。

4. 設計および選択の際には、最新のIOSファームウェアを安定的に使用し、MD5検証を実行してリスクを軽減します。

5. このインシデントを検出するためのネットワーク侵入検知および防御装置(NIDS / NIPS)を設計し、対応する異常なネットワークイベントを毎日監視してリスク監視を実現します。

a) SYNful Knock インシデントプロセス全体には、弱いパスワードの推測、バックドアの外部リンク、バックドア コマンドの制御という 3 つの重要な段階があります。 NIPS は、各段階を個別に保護できるだけでなく、レイヤーごとの保護メカニズムを確立することもできます。

b) まず、弱いパスワード。NIPS の弱いパスワード ルールは、Telnet の弱いパスワード イベント アラートを生成し、管理者にアカウントの弱いパスワードの問題に注意するよう促し、ブルート フォースによる推測をブロックします。

c) 次に、バックドアの外部リンクは、TCP セッション確立プロセスの特性を検出して、バックドアの通信接続をブロックします。

d) 最後に、バックドアコマンド制御には、CnC または TCP を使用する必要があります。NIPS はトラフィックを検出すると、制御コマンドを検出して、ブロック制御の効果を実現します。バックドアが埋め込まれていても、コマンド送信をブロックしてもそのコマンドを制御することはできない

6. リスクを避けるために、家庭用機器を選択する際には考慮する

試運転と受け入れ

1. 基本的なセキュリティ評価(脆弱性スキャン、ベースライン検証、イントラネット侵入テスト)を実行する

2. すべてのユーザーパスワードを再編成します。

3. 毎日の侵入検知レポートの可用性をテストします。

等……

長期運用とメンテナンス

1. 新規に納入されたシステム: 設計および実装仕様に従って定期的なメンテナンスが実行されます。

2. 旧システム:

2.1 クイック処理: TFTP サーバーを設定して、すべてのオンライン IOS イメージのバックアップを強制し、バックアップされた IOS と正式にダウンロードされた IOS イメージに対して md5 検証を実行します。

成功したmd5検証の処理方法: 2.2を参照

md5 検証の失敗を処理する方法:

安全の原則に基づき、IOS をクリアすることはもはや安全ではありません。問題のあるデバイスを交換することをお勧めします。

問題のあるデバイスは検査のために工場に送り返す必要があります。もちろん、ハニーポットにすることも検討できます。

ネットワーク領域で包括的な調査を実施することをお勧めします。そうしないと非常に危険です。

2.2 新しいシステム設計標準に従って管理ドメインを変更します。

3. 毎日の侵入検知レポート(トロイの木馬)を分析する

まとめ

この記事の主な技術的詳細は、FireEye の技術レポートから引用したものです。一般的なプロセスは次のとおりです。

1. ログイン可能な(ブルートフォース、ソーシャル エンジニアリング、弱いパスワードなどを通じて)Cisco デバイスを見つけます。ログインできることが前提条件です。

2. トロイの木馬から保護された IOS をアップロードし、新しい IOS をリロードして痕跡をクリーンアップする機会を見つけます。

3. 次に、他のユーザーがこの「成果」を奪うことがないようにルーターを強化します。

4. トロイの木馬などの悪意のあるプログラムを埋め込み、JS ハイジャックなどの攻撃アクションを実行します。

報告書で公開された情報から判断すると、シスコ製ルーターのバックドアイメージ埋め込み技術は理論から実用化へと徐々に移行しており、バックドアの機能は単純なユニバーサルパスワードから任意の悪意あるコードのモジュール式リモートロードへと拡大している。ルータはネットワークの核心的な出入り口に位置しているため、攻撃者がルータ内でコードを実行できるようになると、ルータが本来提供している機能に限定されず、ルータを通過するネットワークトラフィックに対してさまざまな操作を実行できるようになり、より大きな被害をもたらすことになります。

出典: Green Alliance Technology提供


原題: 新しいシスコ ルータ バックドアの分析と保護

キーワード: ルーター

<<:  XcodeGhost事件は成人における最も深刻な情報セキュリティ事件かもしれない

>>:  淘宝網を生態学的災害から救うのは誰か?

推薦する

モバイルクライアントの売上を増やす10の方法: 携帯電話からユーザーを引き付ける

多くの企業は、ウェブサイトのトラフィックを増やし、顧客に自社製品についてより詳しく知ってもらうために...

hostyun による、日本大阪の AMD-IIJ シリーズ VPS (月額 20 元、500M 帯域幅) の簡単な評価

hostyun が最近日本の大阪で使用したサーバーは、ハイエンドの AMD プラットフォームを使用し...

SEO の詳細を計画する: ターゲットを絞った作業方法

「どの国にも法律があり、どの家庭にもルールがある。」この言葉は、さまざまな場所で何度も耳にします。確...

クラウドコンピューティングの課題と難しさ

過去数年間、クラウド コンピューティングに注目が集まっていたのは、単にクラウド コンピューティングへ...

ウェブマスターネットワークレポート:中国のビットコインが衝撃的な規制に直面 湖南テレビがウェブサイトに反撃

1. 中国のビットコインは衝撃的な規制危機に直面しており、破産の波が押し寄せている規制当局からの連絡...

李開復氏:シトロンは、攻撃を受けていないと考えている。攻撃を受けた企業は訴訟を起こすべきだ。

Sinovation VenturesのCEO、李開復氏(写真提供:テンセントテクノロジー)テンセン...

hostsailor - ルーマニア 1Gbps 帯域幅、OpenVZ 仮想 VPS、簡単なレビュー

ビジネス上の都合でルーマニアのデータセンターのマシンを使用する必要がある友人もいるかもしれません。こ...

Tencent Cloud の「データ損失」が疑問を呼ぶ:クラウド サービスは安全か?

最近、新興企業「Frontier CNC」がTencent Cloudを批判する記事を発表し、業界の...

Godaddy 3か月4.95ドルで登録可能(中国人向け)

Godaddy の 3 月の最新割引コードでは、com ドメイン名の登録価格は 4.95 米ドルです...

Googleが商品検索サービスを調整:販売業者向けの無料ポリシーが有料に

北京時間6月1日、Googleは無料の商品検索サービスを有料サービスに変更する。これは、オンライン検...

オラクルは中国で30年にわたり事業を展開し、革新的な技術で中国企業のクラウドへの移行を支援してきた。

オラクルブロックチェーンローカルソリューションがリリース、中国と世界の優れたデータ技術このデータベー...

バックリンクについてお話ししましょう。これらの方法をすべて使用しましたか?

これは繰り返し提起されてきた質問なので、私の記事のタイトルは「バックリンクについてもう一度話しましょ...

ベライゾンとホンダ、運転の安全性向上のため5Gとエッジコンピューティングで協力

海外メディアの報道によると、ホンダと通信事業者のベライゾンは、5Gとモバイルエッジコンピューティング...

無料の基本情報は鉄鋼ウェブサイトの発展において避けられないトレンドである

タオバオがイーチネットに勝利できた最も重要な要因は、中国のインターネット文化の基盤である「無料」をし...

「Baiduホームページに追加」の方法と原理について話す

最近、百度が新たにアップグレードした機能「百度ホームページに追加」について、皆さんも聞いたことがある...