恶意程序-分析SYNfulKnock思科植入-virustracker.PDF

原原文文地地址址:/papers/8886 0x00 综综述述 这个植入木马由一个经过篡改的思科IOS镜像组成，能允许攻击 保持匿名性，同时从网络上加载不同的功能模块。这个植入木马还使用了一个秘密的后门密码，能给攻击 提供非限制权 限。每个模块都能通过HTTP协议 （不是HTTPS）来启用，只需向路由器的接口发送一个特别制作的TCP数据包。这些数据包都使用了非标准的序列号和相应的承认号。而这些模块可以把自 己显示成路由器IOS中独立的可执行代码或hook，提供的功能与后门密码类似。后门密码通过控制台，远程登陆协议和权限提升，使用enable命令，能提供对路由器的访问。 图1：模块更新 图2：后门权限 已知受影响的路由器：思科1841路由器，思科2811路由器，思科3825路由器 注意：我们在识别之初发现，其他型号的一些路由器可能也受到了影响，因为这些路由器的核心功能、IOS代码都很类似。 0x01 维维护护 这个植入木马寄存于一个被篡改过的思科IOS镜像，并且在加载后，植入就能维护自己，系统重启也无法清除。但是，攻击 之后载入的模块就只能储存在路由器的内存中，系统重启后就没 有了。从分析的角度看，如果模块是加载到内存中，分析人员就可以通过获取路由器镜像的核心转储来对这些模块进行分析。 0x02 检检测测方方法法 对于能发出命令并接收响应的组织来说，主机标识非常实用。但是只有一小部分的路由器是放置在比较容易接触的网络区域中，在这种情况下，这种方法就是可行的。 对于更分散的组织和不能执行本地命令并接收响应的组织来说，网络标识能起到帮助作用。 最终来看，结合主机标识和网络标识的方法基本上能用于判断底层网络的健康情况。 主主机机标标识识 表表1-主主机机标标识识命命令令和和预预期期输输出出 除了表1中的命令，思科的IOS防篡改文档中还提供了其他的一些检测技术： /web/about/security/ intelligence/integrity-assurance.html 从文件大小上来看，包含有植入木马的IOS二进制与合法镜像是一样的。所以，从文件大小上无法区别这个镜像有没有遭到篡改。最好的办法之一就是获取思科镜像的哈希，通过比较 哈希来检测二进制是不是被篡改过。但是，只有当镜像是在磁盘上，而不是加载到内存上时，这种方法才能发挥作用。 网网络络标标识识 曼迪昂特公司提供有主动和被动两种网络检测方法。关于这两种方法的详细介绍请参见下文中的 “网络检测”部分。 0x03 攻攻击击 主主要要篡篡改改了了IOS二二进进制制的的下下面面四四个个函函数数：： 修改转换后援缓冲器 （TLB）读写属性 修改一个会被调用的合法IOS函数，并初始化木马 使用恶意代码替换合法的协议处理函数 使用木马的字符串替换合法函数引用的字符串 1. TL 读读写写属属性性 木马会强制把TLB的所有与读和写相关的属性都篡改成Read-W ite （RW）。我们认为这种篡改是为了让载入模块hook到IOS的函数。如果没有把TLB权限设置成RW，那么缓存页篡改可 能就无法影响到内存中的原始页。 遭到篡改的函数可能是IOS中疑似负责配置TLB的函数，攻击 修改了函数中的两个单字节，从而实现了对TLB属性的篡改。在没有篡改时，函数会把寄存器中的前两位设置成1；篡改 后，函数会把寄存器的前三位设置成1。曼迪昂特公司认为控制着TLB项写入权限的就是第三位。图3中是遭到篡改的指令。 图3-篡改TLB权限 （上为未篡改，下为篡改后） 这就联系到了我们上面讨论过的主机标识方法。使用enable模式命令 “show platfo m”就能检查TLB属性。如果IOS映像没有遭到篡改，TLB就会输出图4中的内容。 图4-合法IOS镜像的TLB项 如果路由器中植入了篡改过的IOS镜像，其RW属性就会如下： 图5-篡改后IOS镜像的TLB项 视路由器硬件而定，内存地址的有些特定范围一般是只读的可执行代码部分。检测路由器是否遭篡改的最简单方法就是使用命令“show platform | include RO, Valid”。如果没有结果 显示，那么，IOS镜像很可能就遭到了篡改，其目的是为了篡改可行代码。 2. 初初始始化化木木马马 曼迪昂特公司认为，要想在IOS镜像载入时执行木马，肯定要修改一个与进程调度相关的函数。这是因为，在IOS启动顺序中，遭到篡改的函数会被更早地调用，并且只要IOS启动正 确，这个函数就一定会被调用。函数调用的目标地址