O nouă amenințare informatică la adresa rețelelor: SYNful Knock . Cum poate fi combătut atacul?
2 min read
Monitorizarea atacurilor informatice și analiza modului în care evoluează și exploatează sisteme reprezintă o preocupare fundamentală pentru specialiștii din cadrul grupului de cercetare Cisco Talos Security Intelligence.
O nouă astfel de amenințare a fost depistată recent pe routerele Cisco, sub forma unui atac malware denumit ”SYNful Knock”. Deși atacul nu reprezintă o vulnerabilitate în sine, pentru că trebuie instalat de cineva care deține credențiale de acces cu drepturi de administrator sau care are acces fizic la un terminal, Cisco a publicat o pagină de asistență pentru clienți – Event Response Page – cu informațiile necesare detectării și remedierii acestui tip de atac. În plus, Cisco lucrează cu partenerii săi pentru a identifica sistemele compromise.
Cea mai recentă soluție pe care Cisco o oferă partenerilor a fost dezvoltată pe baza unor copii ale malware-ului obținute de Cisco PSIRT de la clienți ale căror sisteme au fost infectate. Pe baza acestor mostre, Cisco a dezvoltat instrumente care le permit clienților să-și scaneze propriile rețele pentru routere infectate.
Trebuie reținut că acest instrument depistează doar segmente de infrastructură infectate care au reacționat deja la atacul malware, dar nu poate stabili daca o rețea nu include malware care ar fi putut deja evolua pentru a folosi un set diferit de semnături.
Soluția a fost dezvoltată în limbajul Python și are nevoie de versiunea Python 2.7 alături de scapy v2.3.1 packet manipulation library pentru a fi derulată. În timpul funcționării, soluția Cisco injectează pachete customizate la nivelul Ethernet și monitorizează și analizează răspunsurile. Soluția funcționează doar dacă e derulată direct din root.
Pentru detalii despre implementarea acestei soluții, accesați linkul următor.
Dispozitivele de rețea și credentialele de acces cu drepturi de administrator, reprezintă în continuare o țintă extrem de atractivă pentru atacurile cibernetice. Protecția lor este foarte importantă, în condițiile în care orice element poate fi compromis dacă un atacator deține una dintre cele două căi de acces. Adresa de răspuns menționată anterior pe care Cisco a pus-o la dispoziție include mai multe resurse care îi pot ajuta pe clienți să-și calculeze opțiunile mai bine.
Clienții care suspectează o eventuală infestare pot contacta Cisco Product Security Incident Response Team (PSIRT), o echipă specializată în securitate informatică formată la nivel global, care este disponibilă non-stop la numerele de telefon +1 877 228-7302 sau +1 408 525-6532, sau la adresa psirt@cisco.com, pentru a identifica orice tip de amenințări informatice.