32764端口后门重出江湖,影响多款路由器

在年初的时候已经发布关于秘密后门——“TCP 32764”的报道,利用该后门漏洞,未授权的攻击者可以通过该端口访问设备,以管理员权限在受影响设备上执行设置内置操作系统指令,进而取得设备的控制权。许多我们耳熟能详的路由器纷纷“躺枪”,诸如Linksys、Netgear、Cisco和Diamond。

该后门发现者是一位来自法国的逆向工程师,叫Eloi Vanderbeken。他表明在最新的固件版本升级中已经修补了这一漏洞,但是这不妨碍SerComm以其他方式再次添加了相同的后门。

为了验证研究所谓的最新发布的补丁,Vanderbeken下载了Netgear DGN100的固件补丁1.1.0.55版本,并通过binwalk这一后门分析工具对其进行了分析。然后他发现之前后门包含的scfgmgr文件依然存在,只是限制本地进程间的通信(Unix domain socket)和同一个设备上的进程。

之后通过逆向工程对二进制文件进一步调查分析,他发现了另一款叫做“ft_tool”的神秘工具,通过它可以重新激活TCP后门。

在他的报告中解释,“ft_tool”实际打开一个原始套接字,通过侦听传入的数据包,从而使本地网络可以发送下列特别的数据包激活tcp端口32764。

以太类型参数应等于'0 x8888'。有效载荷应该包含DGN1000的MD5值(45d1bb339b07a6618b2114dbc0d7783e)。该数据包类型
应该是0x201。

报告文件:

http://static.3001.net/upload/20140522/14006932091296.rar

所以如果你使用的是SerComm路由器,尽管你已经更新了最新版本,很不幸的是攻击者仍然可以通过shell命令重新激活TCP 32764后门。

当然你或学会问,为啥子这些路由器制造厂商会如此“恬不知耻”地一而再再而三的添加内置后门呢。这期间曲折或许是因为隐藏在这些厂商后面的那只“无形”的手——NSA.

就目前而言还没有发现针对此类后门的最新补丁,如果你想检查自己的路由器是否躺枪,可以点击下方“阅读原文”参照源代码。

或者按照下面步骤进行检查:

1.使用“binwalk -e”提取系统文件
2.检索“ft_tool”或scfgmgr文件
3.通过IDA反汇编进行确认

原文地址

http://thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-05-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏三丰SanFeng

浅谈DNS

什么叫域名解析 域名解析是把域名指向网站空间IP,让人们通过注册的域名可以方便地访问到网站一种服务。IP地址是网络上标识站点的数字地址,为了方便记忆,采用域名来...

5077
来自专栏idealclover的填坑日常

Ubuntu 18.04/16.04系统安装网易云音乐无法启动或安装解决方案

由于netease-cloud-music_1.1.0_amd64_ubuntu.deb打包可能有问题,在Ubuntu 16.04/18.04版本中虽然可以安装...

5823
来自专栏晨星先生的自留地

提权(1)信息收集

3304
来自专栏西枫里博客

联通宽带FTTH,华为hg8347r改桥接模式

家里宽带升级成50M光纤到户。换了一个光猫,导致我内网DMZ主机无法远程连接了。联通安装工程师安装好后,提供的是一个限制权限的user账户。除了能关闭wifi信...

3223
来自专栏www.96php.cn

【性能优化】PHP代码输出压缩后HTML

此操作也可以归结在性能操作类别上,虽然效果不是很明显,但在一定情况下起得很好的作用,下面理几点使用该方法的原因 大流量访问页面压缩代码节省RMB,百度...

3478
来自专栏微信公众号:Java团长

微信公众号支付功能开发(Java版)

下单和修改支付状态是用户的业务系统干的事,我们来说说如何快速发起支付和接收异步通知。

1231
来自专栏安恒信息

安恒紧急漏洞预警: phpMoAdmin存在远程代码执行漏洞

国外绰号为sp1nlock的黑客在MongoDB GUI管理工具phpMoAdmin上发现了一个远程代码执行零天漏洞,攻击者可以利用该漏洞劫持运行phpMoAd...

38910
来自专栏FreeBuf

一次对个人服务器入侵事件的调查

这一切还要从我收到的通知邮件:“Your server is sending spam”说起。首先要说的是,这台服务器是用来运行之前项目的静态网站,并不保存关键...

3325
来自专栏杨逸轩 ' sBlog

PHP 免费IP api接口,常用技巧

4768
来自专栏农夫安全

信息安全面试题---(渗透测试工程师-1)

前言 本帖提供一些渗透测试工程师面试基础题目,有需要的小伙伴可以收藏 1.拿到一个待检测的站,你觉得应该先做什么? 0x01 面试题目 · 收集信息 whoi...

8936

扫码关注云+社区