cisco IOS rootkits

Στις παρουσιάσεις του EuSecWest βλέπω την ακόλουθη από τον Sebastian Muniz, exploit writer της Core Security Technologies:

Killing the myth of Cisco IOS rootkits: DIK (Da Ios rootKit)

Public rootkit implementations for Cisco IOS have not been seen and system administrators tend to think that this is not possible or that even being possible, a generic method could not be created and that a skilled attacker is needed to target them. We will present DIK (Da Ios rootKit), a real multi-architecture rootkit to show that real threat exist and that advanced IOS forensics are probably not enought to detect it.

No public IOS rootkit implementation has been publicly presented before and the techniques employed here are generic and could be easiy usd to implement other closed-source OS rootkits.”

  1. Wow! Δεν είναι βέβαια η πρώτη φορά που το διαβάζει κανείς, π.χ. ήδη από το 2002 ο Rik Farrow έγραφε:

    “One rumor is that the source code for IOS, Cisco’s Internetworking Operating System, has been stolen. That rumor dovetails nicely with a second rumor, that a rootkit for Cisco routers is in the wild.
    The notion of a Cisco rootkit disturbed me at first. I guess I just didn’t like to think of a router as something running a vulnerable OS with vulnerable services. But, of course, routers run operating systems. Cisco has written their own. Juniper Networks uses a modified version of BSD.”

    Έστω και μετά από τόσα χρόνια …wow!

  2. Ελπίζω να υπάρχει κανείς γνωστός που να του πλήρωσε ο εργοδότης τις £2100 (EuSecWest + The Exploit Laboratory) για να μεταφέρει αυτά που είδε.
  3. Θυμάμαι πως τον καιρό που δούλευα στο NTUA-NOC προσπαθούσα να βρω buffer overflow στον BGP listener των router. Ήταν φρέσκο το “Smashing the stack for fun and profit” τότε… Βέβαια εμένα με ενδιέφερε περισσότερο το denial of service (σαφώς πιο εύκολο) από το remote access ή ένα rootkit. Ο router-master υπολόγισε σωστά στον όγκο της καθημερινής εργασίας και αν και δεν ήθελε, μου έδωσε access για να “παίξω”. Χρειάζεται ελεύθερο χρόνο κανείς για να πειραματιστεί.
  4. Άντε να δούμε πότε θα αρχίσουμε να τρέχουμε third-party software στους router (online ή offline πάνω στο image δεν έχει σημασία)…


2 thoughts on “cisco IOS rootkits

Leave a Reply

Fill in your details below or click an icon to log in: Logo

You are commenting using your account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s