思科路由器超級后門(mén)被入侵 黑客如何竊取私密？

　　周二，美國著(zhù)名的上市互聯(lián)網(wǎng)安全公司FireEye(火眼)旗下的Mandiant services team(麥迪安服務(wù)團隊)發(fā)布了一份針對思科路由器前所未有的超級后門(mén)入侵事件調查報告。

　　此消息剛一爆出，就在我們業(yè)內中炸了鍋。我們都知道思科是全球最著(zhù)名的企業(yè)級網(wǎng)絡(luò )設備提供商，大部分公司的核心網(wǎng)絡(luò )設備使用的是思科的設備。如果一個(gè)企業(yè)的核心網(wǎng)關(guān)設備被黑，企業(yè)就沒(méi)有任何安全可言，于是我們公司內的安全部門(mén)啟動(dòng)緊急預案，開(kāi)始排查公司的思科路由器是否有可能被入侵。

　　大家都知道斯諾登爆料的美國“棱鏡門(mén)”事件，美國政府對民眾的上網(wǎng)行為進(jìn)行監控。

　　這里采用的監控技術(shù)，就是對網(wǎng)絡(luò )運營(yíng)商的核心網(wǎng)絡(luò )設備進(jìn)行操控，對經(jīng)過(guò)核心網(wǎng)絡(luò )設備的所有網(wǎng)絡(luò )數據鏡像存儲后分析。普通用戶(hù)上網(wǎng)過(guò)程中所有數據都會(huì )通過(guò)互聯(lián)網(wǎng)運營(yíng)商的路由器，如果互聯(lián)網(wǎng)運營(yíng)商的核心路由設備被黑，用戶(hù)上網(wǎng)過(guò)程中的任何隱私數據就有可能被黑客竊取。

　　這次的超級后門(mén)事件被火眼公司命名為“SYNful Knock”，SYNful是一個(gè)生造的單詞，我斗膽將其譯為“原罪敲門(mén)”事件。我通讀完FireEye(火眼)的安全報告后，略覺(jué)驚悚。

　　思科路由器的系統IOS(和蘋(píng)果一個(gè)名字)從未對外正式開(kāi)源(我這里都簡(jiǎn)稱(chēng)為IOS)，這個(gè)系統就像一個(gè)黑盒子一樣，是完全閉源的。早年在黑客圈中曾放出利用思科系統支持的TCL腳本制作的路由器后門(mén)技術(shù)，引起黑客們一片膜拜：

　　這種后門(mén)技術(shù)通常是用弱口令進(jìn)入思科路由器執行一段腳本，監聽(tīng)一個(gè)非常明顯的后門(mén)端口，連接后門(mén)端口對思科路由器進(jìn)行控制，這種入侵手法可以被明顯的發(fā)現。至此以后就并沒(méi)有太高端的思科設備后門(mén)技術(shù)，而這次居然是外界無(wú)法發(fā)現的系統級后門(mén)!

　　因為這次超級后門(mén)事件除了火眼的報告，并沒(méi)有太多的消息來(lái)源，所以我通過(guò)自己的經(jīng)驗對其進(jìn)行一些技術(shù)分析：

　　這次的后門(mén)是系統級別的，換一個(gè)角度敘述可以讓大家更容易理解。大家可以假想一下思科的設備有內置后門(mén)，而火眼的報告分析顯示，黑客是通過(guò)隱蔽的報文遠程控制思科路由器，要達到這種后門(mén)的技術(shù)必須對思科的IOS進(jìn)行改寫(xiě)，更改有多種途徑，比如：

　　一、黑客擁有思科操作系統的源代碼，對源碼進(jìn)行重新編譯，然后通過(guò)物理入侵手段給思科路由器刷新操作系統。

　　要達到這種效果，設備從原廠(chǎng)發(fā)出，如果不是原廠(chǎng)的內置后門(mén)，那么只有可能在各種中間分銷(xiāo)途徑加入后門(mén)，設備一旦進(jìn)入企業(yè)后果不敢想象。

　　二、在思科路由器的IOS系統的升級鏡像中加入了惡意代碼。

　　路由器設備采購到企業(yè)后，一般工程師都會(huì )升級思科路由器的IOS系統，剛剛8月思科的官網(wǎng)曾發(fā)布一個(gè)安全公告，我摘了關(guān)鍵的一句話(huà)給大家分析解釋?zhuān)⑽氖恰癈isco IOS ROMMON (IOS bootstrap) with a malicious ROMMON image”，簡(jiǎn)單說(shuō)就是思科發(fā)現有少量的升級鏡像被加入了惡意代碼，所以如果工程師升級思科路由器，可能升級是一個(gè)被人做手腳的系統鏡像。這個(gè)惡意鏡像的制作技術(shù)非常高端，畢竟IOS是閉源的。

　　除了這2個(gè)途徑，想要對思路路由器進(jìn)行無(wú)感知的遠程植入后門(mén)，目前看可能性比較小，因為這種系統級別的篡改需要重啟思科路由器，線(xiàn)上業(yè)務(wù)如果重啟關(guān)鍵的網(wǎng)絡(luò )核心設備是會(huì )驚動(dòng)網(wǎng)絡(luò )工程師的，當然也不排除這種微小的可能，有超級黑客能夠遠程對思科的系統進(jìn)行無(wú)感知篡改。

　　如何防范呢?

　　這樣的黑客入侵行為，雖然普通的安全網(wǎng)絡(luò )工程師無(wú)法發(fā)覺(jué)，目前市面上也沒(méi)有安全工具能夠發(fā)現。但據說(shuō)火眼的內部報告有“原罪敲門(mén)”的入侵檢測方法，現已經(jīng)在網(wǎng)絡(luò )上公布流傳中，排查后門(mén)的方法大家可以搜索這份報告參考。如無(wú)法有效排查，我推薦使用可靠的鏡像重裝思科設備的操作系統。

　　希望本文能夠引起大家對這次事件的重視，警惕“原罪敲門(mén)”。