Talos曾开发出一种可以让客户自己扫描他们的网络来识别路由器的python脚本工具,目前,该工具可能已经被SYNful_Knock攻破 。

几周前我发表了synful_knock安全问题涉及Cisco路由器的消息。

CISCO发出警报,提醒企业客户关于黑客们在攻击中的一个尖锐之处,过程中黑客会使用有效的管理员凭证在IOS设备上安装假的ROMMON镜像,ROMMON镜像是引导思科硬件初始化以及启动软件的程序。几天前,Mandiant的安全专家证实已经有检测到这样的“植入”, 在乌克兰,菲律宾,印度,墨西哥的14个思科路由器上研究人员发现,恶意ROMMON镜像被称为“synful_knock,“。思科型号1841,2811,3825都有影响,非常有必要强调的是,这些型号不再在市场上供应。       

现在,思科已经决定提供一个免费的工具——synful_knock扫描器,该工具允许管理员在运行一个虚假的固件通过植入“synful_knock“渗透来测试他们的路由器。

为了启动该工具,管理员需要python2.7还有scapy2.3.1数据包运行库。

思科Talos安全团队分析了该恶意植入程序,这个恶意程序已经使一些用户的设备感染,并且开发了一种工具来扫描网络,寻找脆弱的路由器。

Talos团队的William McVey解释到:”TALOS现已经为用户开发了一款工具,该工具可以扫描自己的网络来识别可能已经被这个恶意程序侵入的路由器。”

思科开发的工具只能够检测已知版本的恶意植入程序。

“这个工具只能检测主机响应的恶意软件' knock '……它不能建立一个没有恶意软件,并且可能已经发展到使用不同签名的网络。”

为了运行该工具,你将需要python2.7还有scapy2.3.1数据包运行库。