思科发布了用于检测恶意路由器植入的工具

“思科系统公司提供了一种工具,可让企业用户扫描其网络并发现其路由器是否受到恶意软件的破坏。 SYNful敲门 植入物。

SYNful爆震扫描仪 是一个Python脚本,用于扫描网络,寻找可响应恶意软件的主机’s specific knock.

“该工具在运行期间会在以太网层(第2层)注入定制的数据包,并监视和解析响应。此功能要求该工具必须具有root特权才能运行,” 思科公司 ’s William McVey解释说,并指出,尽管扫描仪可用于帮助检测和分类基础结构的已知漏洞,但无法确定网络中没有恶意软件,这些恶意软件可能演变成使用不同的签名集。

如果找到受损的路由器,扫描仪将提供有关下一步操作的说明。用户还可以联系思科产品安全事件响应团队(PSIRT)寻求帮助。

SYNful敲门路由器植入物是FireEye研究人员首先发现的,其他研究人员 发现 世界各地受感染路由器的实例。

该发现是在思科警告攻击者获得对Cisco IOS设备的管理或物理访问权后,用恶意ROMMON映像替换Cisco IOS ROMMON(IOS引导程序)后大约一个月。

这些妥协不是利用漏洞的结果,而是网络管理员可以出于自己的目的在IOS设备上安装升级的ROMMON映像的合法功能。

有关更多技术细节和工具警告,请查看McVey’s 博客文章.”

分享这个