新しいシスコルータのバックドアの分析と保護

Cisco ルータは国内で広く使用されており、企業ネットワークを接続するコア コンポーネントとしてよく使用されます。しかし、最近出現した新しいシスコ ルーターのバックドアは、企業のセキュリティに深刻な脅威をもたらしています。 Cisco ルーターの「SYNful Knock」バックドア事件は業界にパニックを引き起こし、多くの人が緊急対策に取り組み始めました。

影響範囲は4か国と共通モデルに及ぶ

一般的に、Cisco ルーターにバックドアを埋め込むことは、理論的には可能でも実装が困難であると考えられてきました。しかし、最近、海外のセキュリティ企業 FireEye は、Cisco 1841/Cisco 2811/Cisco 3825 ルーターやその他の一般的なモデルに関係する、このタイプのルーターに埋め込まれたバックドアが密かに普及しつつあることを発見しました。ウクライナ、フィリピン、メキシコ、インドの4カ国で、少なくとも14の同様のバックドアが拡散していることが判明した。

ほとんどの企業がコアネットワーク機器として Cisco ルーターを使用していることを知っておく必要があります。企業のコアゲートウェイデバイスがハッキングされると、企業ネットワークの出入り口を制御できるだけでなく、過去の情報も改ざん・偽装され、被害が拡大します。

弱いパスワードでログインしてCiscoルーターのファームウェアを交換する

このバックドアは、ウイルスが通常のファイルに感染するのと同様に、Cisco ルーターのファームウェアを変更して悪意のあるコードを埋め込むことによって実装されます。攻撃者は、他の手段を使用して、このバックドア ファームウェアをターゲット ルーターにアップロードまたはロードする必要があります。現時点では、攻撃者はファームウェアをアップロードする際にゼロデイ脆弱性を利用したのではなく、ルーターのデフォルトパスワードまたは弱いパスワードを使用してルーターにログインし、バックドアファームウェアをアップロードして元の正常なファームウェアを置き換えたようです。ルーターの管理者がファームウェアをアップグレードしない限り、攻撃者はルーターを長期にわたって制御し続けることができます。

バックドアは、通常のファイルに感染するウイルスに似ています。攻撃者は、さまざまなチャネルを通じて、バックドアをターゲットのルーターにアップロードまたはロードする必要があります。また、高度なテクノロジーを使用しているため、いつでも新しいバックドア機能を追加できます。このアプローチは、すべてのコンピュータに存在するゾンビトロイの木馬と非常によく似ていますが、ルーターのバックドアで使用されることは比較的まれです。このバックドアは、おそらくバックドアのネットワーク制御機能に特別なマークがあるため、「SYNful Knock」と名付けられました。

ゾンビトロイの木馬の戦術をルーターに移植

このバックドアにはユニバーサル バックドア パスワードが埋め込まれており、攻撃者はこれを使用して Telnet またはコンソール経由でルーターにログインできます。また、動的モジュール読み込み技術も使用されており、いつでも簡単に新しい悪意のある機能モジュールを読み込むことができます。これは、Windows/Unix システムのゾンビトロイの木馬ネットワークでは非常に一般的な技術ですが、ルーターのバックドアで使用されることは比較的まれです。各モジュールは、HTTP プロトコルを介して更新、ロード、削除できます。

このバックドアは「SYNful Knock」と名付けられました。これは、バックドアのネットワーク制御機能 (CnC) が特殊な TCP SYN パケットによってトリガーされることに由来していると考えられます。

Cisco ルータへのバックドア埋め込みの技術的詳細

(実際のサンプルは入手されていないため、このセクションの技術的な詳細は FireEye の関連技術レポートからのものであり、参考用です)

このバックドアは、通常の Cisco IOS イメージ ファイルを改ざんして悪意のある機能を埋め込みます。主な変更操作は次のとおりです。

すべてのトランスレーション ルックアサイド バッファ (TLB) の属性を読み取り/書き込み (RW) に変更します。

通常の IOS イメージ ファイルでは、一部の TLB 属性は読み取り専用 (RO) ですが、このバックドアはすべての TLB の属性を読み取り/書き込み (RW) に設定し、IOS 関数をフックしてモジュールをロードするために使用される可能性があります。 TLB 属性が読み取り/書き込み (RW) でない場合、キャッシュされたメモリ ページへの変更はメイン メモリ内の元のメモリ ページに同期できません。 「show platform」コマンドを使用して、TLB 属性を確認できます。すべての TLB 属性が RW に設定されている場合は、システムに悪意のあるバックドアが埋め込まれている可能性があります。

プロセス スケジューリングに関連する関数エントリが、悪意のあるコードを指すように変更されたと考えられます。コードはマルウェアの初期化を完了した後、元の通常の関数を実行しました。この関数が選択された理由は、システムが再起動されるたびに呼び出され、攻撃者が永続的な制御を取得できるようにするためです。

通常のプロトコル処理関数の一部を悪意のあるコードで書き換える

画像ファイルのサイズが変更されないようにするために、このバックドアは元の通常の機能コードの一部を悪意のあるコードに直接置き換えます。

通常の関数で使用される文字列を悪意のあるコードに必要な文字列で上書きする

攻撃者は、サイズの変更を防ぐために、通常の関数で使用される文字列を CnC 通信で使用される一部の文字列に直接置き換えます。これにより、一部の通常の IOS コマンドを実行するときに、次の異常な結果が返される可能性があります。

バックドアコマンド

攻撃者はバックドア イメージにユニバーサル パスワードを埋め込み、通常のパスワード制限を回避していつでもシステムにログインできるようにしました。このバックドア パスワードは、コンソール、Telnet、または enable (管理者に昇格した場合) を通じて入力できます。一致が見つかった場合、攻撃者に管理者権限が付与されます。一致しない場合は、通常のパスワード チェック プロセスが続行されます。現在、SSH または HTTPS 経由でログインするときにバックドア パスワードは設定されていません。

ネットワークコマンドアンドコントロール（CnC）

このバックドアもコマンド制御を完了するためにモジュール方式を使用しており、悪意のある関数をいつでもルーターにロードして実行することができます。これはルーターのバックドアでは比較的まれです。これにより、マルウェアのスケーラビリティが大幅に向上します。ルーターを再起動すると、ロードされた悪意のあるモジュールはすべて消え、攻撃者は悪意のあるモジュールを再度アップロードする必要があります。

攻撃者は、いくつかの特別な TCP パケットを送信することで CnC 制御を有効にします。ルーター管理者がフィルタリング ポリシーを設定しても、バックドアはこれらのパケットを受信して​​処理します。

CnC コマンド形式

バックドアは、モジュール ステータスの表示、モジュール ロード用のメモリの割り当て、モジュールのロード、モジュールのアクティブ化、モジュールのアンロードなど、5 つの制御コマンドをサポートしています。最大 100 個のモジュールをロードできます。

保護方法

海外メーカーの一般的な保護方法

脆弱性があるのでパッチを当ててアップグレードしてください！ただし、実際の運用環境では、実装には次のような課題が生じます。

1. セキュリティニーズが弱い小規模顧客にとっては特に困難

2. セキュリティ要件が厳しい小規模の顧客はこのポリシーを実装できますが、修正期間は非常に長くなります。

3. ビジネス チェーン全体の停止を伴うため、セキュリティ要件が弱い大規模な顧客にとっては特に困難です。

4. セキュリティ要件が厳しい大規模顧客の場合は実行可能ですが、修正期間が特に長く、範囲が広範囲にわたります。

NSFOCUSが推奨する保護方法

NSFOCUS は、地上保護に 1 つのベンチマークと 3 つのステージを使用することを推奨しています。 1 つのベンチマーク、リスク サーフェスをリスク ポイントに変換します。3 つの段階、設計と実装、試運転と検収、長期運用と保守に分かれています。プロジェクト実施プロセスの各部分には多くの詳細が含まれており、以下に簡単な概要のみを示します。

設計と実装

1. システム内のシスコデバイスの数と、リスクを特定するために統合ポリシー管理に含める必要がある他のメーカーのデバイスのコレクションを数えます。

2. 設計時に地域分離が使用される：管理ドメインと本番ドメインは厳密に分離され（VLANテクノロジーとファイアウォール）、リスク管理を実現します。

3. 管理ドメインは要塞ホストの統一管理を実現し、要塞ホストに関連するパスワードポリシーを設定してリスク移転を実現します。

4. 設計および選択の際には、最新のIOSファームウェアを安定的に使用し、MD5検証を実行してリスクを軽減します。

5. このインシデントを検出するためのネットワーク侵入検知および防御装置（NIDS / NIPS）を設計し、対応する異常なネットワークイベントを毎日監視してリスク監視を実現します。

a) SYNful Knock インシデントプロセス全体には、弱いパスワードの推測、バックドアの外部リンク、バックドア コマンドの制御という 3 つの重要な段階があります。 NIPS は、各段階を個別に保護できるだけでなく、レイヤーごとの保護メカニズムを確立することもできます。

b) まず、弱いパスワード。NIPS の弱いパスワード ルールは、Telnet の弱いパスワード イベント アラートを生成し、管理者にアカウントの弱いパスワードの問題に注意するよう促し、ブルート フォースによる推測をブロックします。

c) 次に、バックドアの外部リンクは、TCP セッション確立プロセスの特性を検出して、バックドアの通信接続をブロックします。

d) 最後に、バックドアコマンド制御には、CnC または TCP を使用する必要があります。NIPS はトラフィックを検出すると、制御コマンドを検出して、ブロック制御の効果を実現します。バックドアが埋め込まれていても、コマンド送信をブロックしてもそのコマンドを制御することはできない

6. リスクを避けるために、家庭用機器を選択する際には考慮する

試運転と受け入れ

1. 基本的なセキュリティ評価（脆弱性スキャン、ベースライン検証、イントラネット侵入テスト）を実行する

2. すべてのユーザーパスワードを再編成します。

3. 毎日の侵入検知レポートの可用性をテストします。

等……

長期運用とメンテナンス

1. 新規に納入されたシステム: 設計および実装仕様に従って定期的なメンテナンスが実行されます。

2. 旧システム:

2.1 クイック処理: TFTP サーバーを設定して、すべてのオンライン IOS イメージのバックアップを強制し、バックアップされた IOS と正式にダウンロードされた IOS イメージに対して md5 検証を実行します。

成功したmd5検証の処理方法: 2.2を参照

md5 検証の失敗を処理する方法:

安全の原則に基づき、IOS をクリアすることはもはや安全ではありません。問題のあるデバイスを交換することをお勧めします。

問題のあるデバイスは検査のために工場に送り返す必要があります。もちろん、ハニーポットにすることも検討できます。

ネットワーク領域で包括的な調査を実施することをお勧めします。そうしないと非常に危険です。

2.2 新しいシステム設計標準に従って管理ドメインを変更します。

3. 毎日の侵入検知レポート（トロイの木馬）を分析する

まとめ

この記事の主な技術的詳細は、FireEye の技術レポートから引用したものです。一般的なプロセスは次のとおりです。

1. ログイン可能な（ブルートフォース、ソーシャル エンジニアリング、弱いパスワードなどを通じて）Cisco デバイスを見つけます。ログインできることが前提条件です。

2. トロイの木馬から保護された IOS をアップロードし、新しい IOS をリロードして痕跡をクリーンアップする機会を見つけます。

3. 次に、他のユーザーがこの「成果」を奪うことがないようにルーターを強化します。

4. トロイの木馬などの悪意のあるプログラムを埋め込み、JS ハイジャックなどの攻撃アクションを実行します。

報告書で公開された情報から判断すると、シスコ製ルーターのバックドアイメージ埋め込み技術は理論から実用化へと徐々に移行しており、バックドアの機能は単純なユニバーサルパスワードから任意の悪意あるコードのモジュール式リモートロードへと拡大している。ルータはネットワークの核心的な出入り口に位置しているため、攻撃者がルータ内でコードを実行できるようになると、ルータが本来提供している機能に限定されず、ルータを通過するネットワークトラフィックに対してさまざまな操作を実行できるようになり、より大きな被害をもたらすことになります。

出典: Green Alliance Technology提供

原題: 新しいシスコ ルータ バックドアの分析と保護

キーワード: ルーター