Peneliti dari perusahaan security Mandiant/FireEye baru saja mem-publish penemuan backdoor cisco router. Backdoor ini dinamakan malware SYNful Knock. Dengan menggunakan malware ini penyerang dapat memperoleh akses penuh terhadap router cisco. Caranya dengan melakukan modifikasi pada image Cisco IOS Software image. Keberadaan backdoor ini sangat sulit dideteksi. Backdoor ini bisa digunakan untuk menyadap komunikasi yang melewati router, selain itu bisa digunakan juga untuk memasang malware lain pada komputer-komputer pada jaringan. Dengan backdoor ini maka penyerang dapat dengan mudah membobol jaringan tanpa terdeteksi oleh sistem keamanan.
Mandiant telah mendeteksi keberadaan malware ini pada 14 router cisco di 4 negara yaitu Ukraina, Philipina, Mexico dan India. Backdoor pada router merupakan jenis malware yang cukup rumit. Selama ini backdoor router baru sebatas teori saja. Backdoor router SYNful Knock ini merupakan jenis backdoor router yang pertama ditemukan. Malware ini menyerang beberaoa perangkat router berikut:
- Cisco 1841 router
- Cisco 2811 router
- Cisco 3825 router
Cisco telah mempublish rules snort yang dapat digunakan untuk mendeteksi keberadaan malware ini. Rules snort ini dapat dilihat pada link berikut:
https://snort.org/advisories/talos-rules-2015-09-15
Hasil analisa Mandiant terhadap malware ini dapat dilihat pada link berikut:
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html
Cisco juga telah bekerja sama dengan Mandiant untuk menangani malware ini. Penjelasan dari Cisco tentang malware ini dapat dilihat pada link berikut:
http://www.cisco.com/web/about/security/intelligence/ERP_SYNfulKnock.html
http://blogs.cisco.com/security/synful-knock?_ga=1.40316258.1302774536.1443214475
Berita lainnya tentang malware ini:
http://thehackernews.com/2015/09/cisco-router-backdoor.html
Semoga bermanfaat!