一位安全研究人员已经为承载着大部分互联网通信的思科系统公司的路由器开发了恶意的rootkit软件,这种软件可以对路由器进行日渐增加的详细检查。
Sebastian Muniz是核心安全技术公司(Core Security Technologies Inc.)的一位研究人员,他开发了该软件,并将于5月22日在伦敦的EuSecWest大会上公开。
Rootkit是一种秘密潜入的程序,它可以掩盖其在一台计算机上的踪迹,这使得它极难以检测。到目前为止,大多数的rootkit都是为Windows操作系统而编写的,此事件标志着有人首次探讨了为思科路由器的互联网络操作系统(IOS)编写rootkit。Muniz在一份电子邮件的谈话中说,“一个IOS rootkit能够执行任何其它的rootkit能在桌面计算机操作系统上所执行的任务。”
Rootkit典型情况下用于安装键盘记录软件并允许攻击者远程连接到受感染的系统。然而,最广为人知的rootkit是由索尼(Sony BMG Music Entertainment)发布的,它可以阻止非授权的cd复制。
思科的rootkit尤其令人不安,因为就如同微软公司的Windows一样,思科的路由器被广泛使用。根据调查公司IDC的调查,在2007年的第四季度,思科拥有近三分之二的路由器市场份额。
过去,研究人员已经开发了称为“IOS补丁外壳代码” 的恶意软件,这种软件可以破坏一台思科路由器,不过这些程序是针对某种特定的IOS版本而编写的。Muniz的rootkit不同于此。他说,“它可以运行在几种不同版本的IOS之上。”
此软件不能用于侵入一台思科路由器,一个攻击者需要拥有某种攻击代码或者拥有路由器上的管理员口令才能安装这种rootkit。不过,一旦安装,它就可以暗中监视并控制设备。
EuSecWest大会的组织者Dragos Ruiu说,这种rootkit运行在路由器的闪存中,这种闪存包含着路由器用于启动的首批命令。
Muniz说,他没有计划公布他的rootkit的源代码,不过他想解释他是如何构建此程序用以对抗思科路由器针对这种恶意软件的普遍机能的。他说,“我已经达成所愿,目的是显示IOS rootkit是真实存在的,而且必须采取恰当的安全措施。”
安全研究人员Mike Lynn为他颇有争议的2005 Black Hack展示提供了类似的理论解释,他向人们展示如何攻入一台思科路由器并运行一段短小的外壳代码程序。
Ruiu 说,Lynn的展示“令人极为震惊,因为没有人认为你会真得构建思科设备的漏洞利用程序。这种rootkit就是下一种手段。”
在2005 Black Hat谈话的几小时之内,Lynn就被思科起诉。思科声称他泄露了商业秘密,违反了其思科终端用户许可协议。
思科的诉讼案很快就解决了,但Muniz及其雇员很明显已经将Lynn的体验牢记在心,因为他们将参加下周的大会。他们拒绝提前展示技术细节。核心安全技术公司的一位发言人说,“我们仍处于将整个展示集中起来的过程中,而且我们在与任何人谈论之前还需要与思科协作。一个大问题是要保障思科没有什么顾虑。”
思科的官员拒绝对此展开评论。
电子自由基金会(Electronic Freedom Foundation)的律师Jennifer Granick说,思科将针对Muniz提出商业秘密的要求。 不过,由于技术社团对2005年的诉讼案反应相当消极,她认为这不会发生。她说,“思科认为自己对研究人员还是友好的,我认为在采取法律行动之前,它们会相当谨慎。”
此外,这种rootkit是在思科公司的敏感时刻发生的。上周,纽约时报报道了联邦调查局认为伪造的思科设备成为美国基础设施严重威胁的问题一事。
SANS 学会的首席研究长官Johannes Ullrich说,思科路由器典型情况下受到损害都是由于能够猜测管理员口令的黑客们造成的。但几乎没有可以检测系统遭受攻击迹象的工具。他说,“你如何找出来呢?这是一个大问题。”
