2015-09-23

Identifiera bakdörrar på Cisco-routrar

Med hjälp av följande metoder så kan du identifiera om du blivit utsatt för injektion av bakdörren som har namnet SYNful knock men även andra typer av bakdörrar som modifierar Cisco IOS ROM-monitor.

Statistiken över identifierade bakdörrade Cisco-routrar ser än så länge ut så här:

Det var företaget FireEye som var först att identifiera denna typ av bakdörr men publik forskning har under många år påvisat att denna typ av bakdörrar varit möjligt. Den bakdörr som nu identifierats är mycket avancerad och innehåller upp till 100 olika moduler.

Och även om ovan statistik är några dagar gammal så har nu över 100 routrar identifierats med bakdörrar.

Kontrollera checksummor

Först och främst bör du kontrollera checksummor på de mjukvaror som ligger på din Cisco-enhet. Det kan genomföras med kommandot verify som beräknar en md5-hash:

router# verify sup-bootdisk:c7600rsp72043-advipservicesk9-mz.151-3.S3
Verifying file integrity of  sup-bootdisk:c7600rsp72043-advipservicesk9-mz.151-3.S3
.....<output truncated>.....Done!
Embedded Hash  MD5 : FCEBD3E1AF32221091E920D5960CAE45
Computed Hash  MD5 : FCEBD3E1AF32221091E920D5960CAE45
CCO Hash       MD5 : E383BF779E137367839593EFA8F0F725 
Signature Verified
router#

Du bör även kontrollera nedladdade mjukvaror från Cisco.com, där finns det även SHA512-hashar som du kan jämföra med.

Kontrollera signaturer

Vissa Cisco-enheter stödjer även kontroll av signering. Då kan du skriva följande likt detta kommando show software authenticity file:

Router# show software authenticity file c1900-universalk9-mz.SPA.152-4.M2
File Name                     : c1900-universalk9-mz.SPA.152-4.M2
Image type                    : Production
    Signer Information
        Common Name           : CiscoSystems
        Organization Unit     : C1900
        Organization Name     : CiscoSystems
    Certificate Serial Number : 509AC949
    Hash Algorithm            : SHA512
    Signature Algorithm       : 2048-bit RSA
    Key Version               : A

Och även jämföra med det som just nu körs. Observera att serial-number stämmer:

Router#show software authenticity running 
SYSTEM IMAGE
------------
Image type                    : Production
    Signer Information
        Common Name           : CiscoSystems
        Organization Unit     : C1900
        Organization Name     : CiscoSystems
    Certificate Serial Number : 509AC949
    Hash Algorithm            : SHA512
    Signature Algorithm       : 2048-bit RSA
    Key Version               : A

    Verifier Information
        Verifier Name         : ROMMON 1
        Verifier Version      : System Bootstrap, Version 15.0(1r)M9, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport

Skapa en core-dump

Genom att få Cisco-enheten att skapa en core-dump (krashdump) så kan vi läsa av minnet på enheten. Där finns det en hel del intressanta saker som gör att vi kan genomföra ”live forensics”.

Argumenten för att skicka en core-dump innehållandes minnet är enligt följande:

exception core-file <name> compress
exception protocol ftp
exception region-size 65536
exception dump <ip address of the  ftp server>
ip ftp username <user>
ip ftp password <pass>

Sedan kan du karva ut text-sektionen och jämföra den offline med den du har laddat hem från Cisco. En annan intressant sak är även att kontrollera kommandohistoriken:

$ strings <CORE> |grep ^CMD:
CMD: 'verify /md5 system:memory/text' 06:59:50 UTC  Wed Jan 15 2014
CMD: 'service internal | i exce' 07:02:41 UTC Wed  Jan 15 2014
CMD: 'conf t' 07:02:45 UTC Wed Jan 15 2014
CMD: 'exception flash procmem bootflash:' 07:02:54  UTC Wed Jan 15 2014
CMD: 'exception core-file CORE compress ' 07:03:31  UTC Wed Jan 15 2014

Du kan även genomföra liknande kommando direkt online:

router#show history all | include se
CMD: 'show run | include ^service internal' 09:55:17  UTC Thu Jan 16 2014
CMD: 'show run | include ^service internal' 10:06:54  UTC Thu Jan 16 2014
CMD: 'show run | include ^service internal' 10:49:54  UTC Tue Jan 21 2014
CMD: 'sh run | i service' 17:20:34 UTC Thu Jan 23  2014
CMD: 'service internal' 10:40:14 UTC Fri Jan 24 2014
CMD: 'sho history all | i ser' 10:41:00 UTC Fri Jan  24 2014
CMD: 'show history all | i ser' 10:41:30 UTC Fri Jan  24 2014
CMD: 'ser in' 10:41:39 UTC Fri Jan 24 2014
CMD: 'show history all | i ser' 10:41:42 UTC Fri Jan  24 2014

Detta var ett axplock av några av de forensiska undersökningar du kan genomföra på en Cisco-enhet. Viktigt är så klart även att logga löpande samt kontrollera och följa upp loggningen.