黑客大會(huì)展示路由器僵尸 或形成DoS攻擊

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

 Coppola是Virtual Security Research(VSR)的安全顧問(wèn)，他在7月底的Defcon黑客大會(huì)上展示了路由器固件后門(mén)處理過(guò)程--這是需要逆向工程學(xué)技術(shù)的復(fù)雜的過(guò)程。

  在Defcon大會(huì)上，他還發(fā)布了一個(gè)被稱為路由器Post-Explotation框架(rpef)的工具，該工具能夠?qū)?lái)自不同供應(yīng)商的幾款主流路由器型號(hào)進(jìn)行自動(dòng)化固件后門(mén)處理。   rpef支持的設(shè)備包括：Netgear WGR614、WNDR3700和WNR1000;Linksys WRT120N;TRENDnet TEW-651BR和TEW-652BRP;D-Link DIR-601和Belkin F5D7230-4。   這些路由器中，只有特定版本才能被該框架添加后門(mén)程序，一些還需要更多的測(cè)試。然而，rpef所支持的設(shè)備在未來(lái)還將會(huì)不斷增加。   rpef可以向路由器固件增加多個(gè)有效載荷：根blind shell，網(wǎng)絡(luò)嗅探器或者連接到預(yù)定義IRC(互聯(lián)網(wǎng)中繼聊天)服務(wù)器的僵尸網(wǎng)絡(luò)客戶端，通過(guò)這個(gè)服務(wù)器，僵尸網(wǎng)絡(luò)可以接收來(lái)自攻擊者的各種命令，包括發(fā)動(dòng)拒絕服務(wù)攻擊（DoS)等。   將后門(mén)固件寫(xiě)入到設(shè)備(也被稱為flashing)可以通過(guò)大多數(shù)路由器的web管理界面來(lái)實(shí)現(xiàn)，遠(yuǎn)程攻擊者可以從幾個(gè)方面來(lái)利用這個(gè)功能。   一種方法是掃描互聯(lián)網(wǎng)中的路由器，讓其web管理界面可以被遠(yuǎn)程訪問(wèn)，在很多路由器中，這并不是默認(rèn)設(shè)置，但互聯(lián)網(wǎng)中有很多這樣配置的設(shè)備。   一旦這些設(shè)備被確定，攻擊者就可以嘗試使用默認(rèn)供應(yīng)商提供的密碼、暴力破解密碼或者利用身份驗(yàn)證繞過(guò)漏洞來(lái)進(jìn)入設(shè)備?；ヂ?lián)網(wǎng)上有很多專門(mén)追蹤和記錄路由器默認(rèn)管理登陸憑證和漏洞的網(wǎng)站。   Coppola表示：“我進(jìn)行了端口掃描，發(fā)現(xiàn)有數(shù)千個(gè)正在使用默認(rèn)密碼遠(yuǎn)程收聽(tīng)互聯(lián)網(wǎng)的開(kāi)放路由器的IP地址。”   然而，即使web界面沒(méi)有暴露給互聯(lián)網(wǎng)，攻擊者也可以通過(guò)流氓固件來(lái)將后門(mén)程序遠(yuǎn)程寫(xiě)入設(shè)備。   上周四在黑帽安全大會(huì)上，來(lái)自AppSec安全咨詢公司的安全人員Phil Purviance和Joshua Brashars演示了已知JavaScript攻擊如何結(jié)合新的基于HTML5的技術(shù)，來(lái)刷新訪問(wèn)惡意網(wǎng)站的用戶的路由器上的DD-WRT基于 Linux的自定義固件。   目前已經(jīng)存在基于JavaScript的腳本可以通過(guò)受害者的瀏覽器來(lái)枚舉本地網(wǎng)絡(luò)中的設(shè)備，設(shè)置可以確定設(shè)備的類型、型號(hào)等，這項(xiàng)技術(shù)被稱為設(shè)備指紋(device fingerprinting)。   Purviance和Brashars表示，確定受害者的內(nèi)部網(wǎng)絡(luò)IP地址不能單靠JavaScript來(lái)實(shí)現(xiàn)，但基于插入內(nèi)容(例如Java)可以用于此目的。   一旦路由器被確定，攻擊者就可以使用默認(rèn)登錄信息或者發(fā)起跨站請(qǐng)求偽造攻擊(CSRF)，通過(guò)受害者的瀏覽器來(lái)訪問(wèn)其web界面。   如果受害者使用與過(guò)去相同的瀏覽器來(lái)登錄到路由器的web界面，他們的會(huì)話cookie將仍然有效，攻擊者可以簡(jiǎn)單地將受害者的瀏覽器導(dǎo)向到在路由器的界面中執(zhí)行活動(dòng)，而不需要進(jìn)行身份驗(yàn)證。   很多路由器，尤其是老舊的路由器，沒(méi)有更新新固件，沒(méi)有CSRF保護(hù)。   Purviance和Brashars展示了，XMLHttpRequest Level 2(XHR2)、跨域資源共享(Cross-Origin Resource Sharing，CORS)和HTML5 File API等新的瀏覽器功能如何被用于下載流氓固件文件到用戶的瀏覽器，然后再對(duì)路由器進(jìn)行后門(mén)處理，而不需要任何用戶交互。在過(guò)去，使用 Javascript和舊的瀏覽器技術(shù)不可能實(shí)現(xiàn)。   他們的演示使用了DD-WRT，它存在重新設(shè)置路由器的用戶自定義設(shè)置的缺點(diǎn)，因?yàn)樗褂貌煌慕涌冢@很容易被發(fā)現(xiàn)。   然而，他們的攻擊可以與Coppola的后門(mén)固件結(jié)合起來(lái)使用，這樣一來(lái)，攻擊者可以上傳后門(mén)固件，這個(gè)固件將會(huì)與原來(lái)的固件一模一樣。   即使是用戶自定義設(shè)置也可以被保留。大多數(shù)路由器提供在執(zhí)行固件升級(jí)時(shí)保留設(shè)置的選項(xiàng)，這些設(shè)置將被保存在被稱為NVRAM(非易失性隨機(jī)存儲(chǔ)內(nèi)存)的單獨(dú)的內(nèi)存芯片中，當(dāng)你刷新固件時(shí)，它們也不會(huì)被覆蓋。   “攻擊者只要從路由器就可以發(fā)展大規(guī)模僵尸網(wǎng)絡(luò)，”Coppola表示，“我認(rèn)為這將會(huì)逐漸發(fā)展起來(lái)，我并不是嚇唬人。”   早在2009年，基于路由器的僵尸網(wǎng)絡(luò)還只是一個(gè)概念，當(dāng)時(shí)，追蹤受感染計(jì)算機(jī)IP地址的DroneBL公司發(fā)現(xiàn)一個(gè)蠕蟲(chóng)病毒，這個(gè)蠕蟲(chóng)病毒正在感染路由器和運(yùn)行mipsel Debian分布的DSL調(diào)制解調(diào)器。   在2011年，來(lái)自反病毒供應(yīng)商趨勢(shì)科技的研究人員發(fā)現(xiàn)了類似的針對(duì)D-Link路由器的惡意軟件正在拉丁美洲蔓延。   在上述兩種情況中，惡意軟件都是使用暴力破解攻擊和默認(rèn)登錄信息來(lái)感染路由器和安裝臨時(shí)僵尸網(wǎng)絡(luò)客戶端，當(dāng)路由器重啟時(shí)，這個(gè)客戶端將被刪除。   通過(guò)Coppola創(chuàng)建的后門(mén)固件，即使設(shè)備重啟，這種感染仍將持續(xù)，rootkit類型的惡意軟路由器僵尸網(wǎng)絡(luò)還沒(méi)有普及的原因在于：創(chuàng)建這種僵尸網(wǎng)絡(luò)的合適的工具還沒(méi)有出現(xiàn)。在Defcon大會(huì)上展示的一個(gè)被稱為固件逆向工程Koncole(FRAK)在真正意義上提高了人們對(duì)固件進(jìn)行分析的水平。

【推薦閱讀】

◆設(shè)備管理軟件軟件專區(qū)

◆網(wǎng)絡(luò)安全管理十大注意事項(xiàng)

◆老軟件蘊(yùn)藏大威脅 警惕拖延升級(jí)的安全隱患

◆中小企業(yè)網(wǎng)絡(luò)安全問(wèn)題令人擔(dān)憂

◆設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考