CiscoIOS设备攻击演化

SYNUTKnock最新识别恶意攻击Cisco操作IOS系统,我们在过去四年中识别并调查了另外六件恶意事件,目标Cisco操作IOS系统威胁性质正在演化 Cisco将继续修改技术 提供可信解决方案这就意味着客户需要进化,充分利用现有安全工具,并确保安全最佳做法到位

CiscoIOS进化攻击中的恶意软件显示,对CiscoIOS修改类型、命令控制网络行为(当存在时)和平台目标的复杂度提高

在谈论每件恶意软件事件细节前,必须注意的是,在所有案件中,没有发现证据证明攻击者利用已知或未知漏洞安装恶意软件所有可用数据点表示使用失密管理员证书或实际访问设备或图像

下表和相关描述简要概述恶意软件样本,并概述Cisco响应这些发现所采取的行动信息源由Cisco法证团队内部分析

注解表

感知方法:静态表示对设备闪存二进制修改,运行时间表示对运行时内存代码修改不修改闪存OS二进制

REMOTEDETAblicy:指远程查找恶意软件通过扫描系统与签名存在于失密系统上之方法在所有情况下都有可能通过内存分析检测修改

事件0和1

前两次事件分别在2011年和2012年检测到,很可能是定制恶意攻击特定受害者这些事件基础性极强(从技术观点看)并包含二元补丁到思科IOS图像允许目标路由器上安装修改后IOS图像文件(C3825、C2800nm和C3845)。Cisco2800和3800路由器没有发现其他思科设备受此恶意软件影响

修改基本影响diffie-Hellman键交换协议,以削弱衍生键材料结果是随机检查加密流量似乎没有修改,但效果是攻击者比正常需要少费力解密受保护流量

平台实施信任安卓技术并签名二进制不会受这两个恶意实例之一的影响

事件2和3

2013年发现2个新恶意样本,都以Cisco7600系列设备为对象攻击者用失密管理员证书修改CiscoIOS代码模拟副本,使用调试和故障排除CiscoIOS命令行接口命令

添加代码的主要目的似乎是清除IPv4包,这些包与攻击者设定的标准匹配目标流量复制并发包到攻击者控制下指定的IP地址二级目的是提供NAT(Network地址翻译)能力,因此攻击者能够在失密网络内访问IPv4地址,该地址通常无法从公共互联网获取(e:设备使用RFC-1918地址)。

由于这两个恶意样本都涉及修改CiscoIOS模拟代码,信任安卓技术或图像验证特征都无法检测或预防攻击CiscoIOS模拟拷贝完成修改后, 两种攻击都无法实现跨设备重载的持久性

事件3只在单客户网中检测发现时安装Cisco7600设备线卡故障法证分析相关核心垃圾场发现,这次攻击使用C&C机制类似事件2向恶意软件提供数据排空指令唯一事件就是多架构线卡目标化-这是我们在任何其他恶意软件分析中未曾看到的东西

两种情况都对CiscoIOS图像可执行代码的模拟拷贝进行了修改(不修改闪存二进制CiscoIOS图像)。签名思科OS图像使用不表示防御但它确实强调需要强力保护行政证书和授权机制,以便优先访问网络设备

事件4

事件4于2014年底被发现并影响Cisco1800、Cisco3800和Cisco7200设备与事件2和3所见恶意软件相似,攻击利用失密行政证书访问目标设备安装恶意软件

与先前分析的恶意软件相比,恶意软件显示复杂性增加唯一分析的恶意软件 通过设备重载和思科OS软件升级均能持久

恶意软件分两个组件:

• 初始感染,即目标思科设备ROMON修改以确保C&C通道持久化;
• 二次感染发生时 ROMON用二分码注入内镜CiscoIOS图像支持数据排空
  • 注释 : 恶意软件不修改二进制iOS闪存

ROMMON组件处理C&C消息,这些消息嵌入IPv4协议交付IMC包有效载荷

二级感染分量高模块化支持可选模块的加卸 通过C&C信道交付设备观察模块目的之一是通过IMC包排出设备专用数据本模块创建IMC回声请求包,数据作为有效载荷排出模块提供NAT能力,因此C&C消息可达公共互联网无法访问的设备,并额外排查能力供攻击者定义的其他流量使用

同事件3一样,使用签名OS图像无法阻止攻击,因为存储在闪存中的二进制OS图像从未修改ROMON折中程序(用于实现回装和CiscoIOS软件升级之间的持久化)与安装安全启动程序、信任锚模块和图像签名能力等当前设备不成功

事件5

上例(称为SYNULKINTERFEYE)使用相同的静态修改CISCOIOS二进制C&C方法类似于事件2中观察到的方法,但在C&C流量中使用TCP替代IMC方法(即SYNfulKnock名称)。

synfulKnock(像恶意#0#1#2#3CANNOT安装已知好的CiscoIOS二进制图像后生存下来,该图像取自已知可信源并验证正确散列值

Cisco行动预防和检测Cisco设备攻击

自2008年以来,思科安全开发生命周期框架为开发团队提供标准和要求,以确保产品设计有保护特征和能力启动时间运行安全性能,如信任锁定模块、安全启动器和内存保护等,是标准要求保护客户不受远程代码注入攻击或静态修改ciscoIOS二进制图像

法证分析团队开始加速开发检测能力开发法证工具 快速验证OS图片的真实性 从核心倾弃或模拟图像关键工具用于事件响应 帮助客户确认 是否有折中和范围

开发法证工具的同时,我们还采取措施进一步确保供应链完整性:通过开发、编译、测试和发布验证CiscoIOS图像完整性,并一直通向分发点作为这些努力的一部分,我们最近介绍并开始发布SHA-512hash值供Cisco图像使用,以进一步提高客户对图像真实性的信心供客户下载www.cisco.com.

并发布指令指导客户加固路由器认证、授权和计算过程并验证CiscoIOS二进制图像已安装或拟安装到Cisco设备上

工具自动分析客户向Cisco技术帮助中心提供的核心垃圾场工具自动检测CiscoIOS图像修改并分析安装在Cisco设备上的任何二进制图像,检测恶意和/或仿真图像

Cisco命令行接口命令,并删除命令,这些命令在正常设备操作期间为客户提供有限值,但可能被攻击者误用并访问设备CLI

实验阶段图像验证服务向客户提供快速自动分析和检测CiscoiOS图像的能力

SNORT和Yara签名检测SYNUT

或帮助客户验证网络流图像并不受损

你能做点什么

Cisco客户想更好地了解如何保护CiscoIOS设备,加固设备配置(包括证书管理程序),验证二进制或模拟运行CiscoIOS图像下图中可找到的部分资源www.cisco.com:

• Cisco软件完整性保证
• CiscoHardeniOS设备指南
• 远程基础设施设备完整性监控
• 信任AnchorCisco产品技术

前列的一些措施是反应式的,但我们也在采取积极步骤开发新能力,以应对不断变化的威胁环境的挑战。Cisco多年以来一直专注于解决通过加固、恢复能力和安全能力保护产品的挑战。 我们将继续甚至加速这些努力,同时快速开发并增加中长期检测和恢复能力

挑战显而易见:威胁客户的性质在不断变化Cisco将继续集中提供可信解决方案,供客户在变化中依赖