به تازگی محققین وابسته به شرکت FireEye موفق به شناسایی گونه­‌ی جدیدی از تهدیدات مبتنی بر مسیریاب­‌های سیسکو شده­‌اند که طی آن یک بدافزار پیشرفته اقدام به آلوده­‌سازی سیستم­‌عامل مسیریاب‌­های سیسکو می‌­نماید. این بدافزار به دلیل عملکرد خاص آن از سوی این شرکت SYNful Knock نام­گذاری شده است. این بدافزار برای مسیریاب­‌های ۱۸۴۱، ۲۸۱۱ و ۳۸۲۵ طراحی شده است که بیشترین محبوبیت را در میان کاربران دارد. گزارش­‌ها حاکی از آن است که این بدافزار در ۱۹ کشور و بر روی ۷۹ مسیریاب مشاهده شده است که این آمار رو به افزایش است. شایان ذکر است که کشور ایران نیز در لیست قرار دارد.

میزان پراکندگی مسیریا­ب­‌های آلوده شناسایی شده بر حسب کشورهای مختلف در تصاویر زیر نشان داده شده است.

مکانیزم کلی عملکرد این بدافزار بدین­‌گونه است که در یک ایمیج IOS گنجانده می­‌شود و سپس ایمیج دستکاری شده بر روی مسیریاب قرار می­‌گیرد. طبق گزارشات رسیده و تحقیقات به عمل آمده، گفته می‌شود ایمیج­‌های آلوده از طریق دسترسی فیزیکی و یا نام­های کاربری و رمزعبور پیشفرض به مسیریاب منتقل می­‌شود و سپس جایگزین ایمیج اصلی مسیریاب می‌­شود. بنابراین دسترسی ماندگار برای مهاجمین فراهم می‌­شود. این ایمیج آلوده حاوی درب­ پشتی و امکانات دیگری است که دسترسی کامل به مهاجمین می­‌دهد. گفته ­می­‌شود از هیچ­گونه آسیب­‌پذیری در مسیرب­‌های سیسکو برای طراحی این بدافزار استفاده نشده است.

شرکت سیسکو به منظور شناسایی مسیریاب­‌های آلوده، اسکنر رایگانی را طراحی و منتشر کرده است. همچنین ruleهای مربوط به سیستم تشخیص نفوذ snort نیز توسط این شرکت منتشر شده است تا مدیران شبکه اقدام به شناسایی این تهدید در شبکه داخی خود نمایند. برای کسب اطلاعات بیشتر می­‌توانید به منابع زیر مراجعه کنید.

http://blogs.cisco.com/security/talos/synful-scanner

http://talosintel.com/scanner/‎

https://www.snort.org/advisories/talos-rules-2015-09-15.html

https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html

https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html