SOHO路由器后门技术研究与检测防范
发布时间:2022-02-12 23:00
随着互联网的高速发展,SOHO路由器得到了进一步的普及。作为家庭及小型办公网络环境中的核心设备,一旦路由器被植入后门,则所有接入设备都将面临网络数据监听、篡改,敏感信息窃取、泄漏等风险。因此,研究SOHO路由器后门的实现技术,有利于了解针对路由器设备的后门技术特点和设计方法,掌握其发展趋势,从而为SOHO路由器后门的检测和防范提供技术支撑,对提高SOHO路由器的安全性、健壮性,保障网络空间安全有重要意义。本文主要针对SOHO路由器后门的设计和检测防御两方面开展研究,分析对比了针对桌面及服务器主机类型的传统后门与针对SOHO路由器的后门在技术、功能等方面的差异,研究了SOHO路由器在植入、隐藏、远控、应用四个方面的技术特点,并相应探讨了后门检测中的固件分析提取、串口连接、静态审计以及动态检测的技术要点。同时,本文设计了一套由控制端和受控端组成的完整SOHO路由器后门原型系统,并对系统中的远程通信、命令执行、后门隐藏等多个方面在具体实现上的关键点和难点进行了详细介绍。结合后门原型系统,本文对SOHO路由器后门分析检测技术进行了对比分析,明确了静态审计和动态检测的具体流程,并依据该流程完成多...
【文章来源】:上海交通大学上海市211工程院校985工程院校教育部直属院校
【文章页数】:90 页
【学位级别】:硕士
【部分图文】:
D-Link路由器特殊User-Agent后门全球分布
3. 根文件系统。嵌入式系统一般以 ramdisk 的方式实现通用操作系统中的硬盘功能。即在RAM 中划分一块不与内核映像位置冲突的内存模拟硬盘功能,随后将 ramdisk 作为设备安装为根文件系统。对 ramdisk 的操作与硬盘这样的永久存储器效果一致,但考虑到系统稳定性,对 ramdisk 的操作一般不会写回闪存中,因此系统断掉后,修改将会消失。常见的SOHO路由器根文件系统格式一般包括rootfs,cpio、squashfs等等。4. NVRAM。NVRAM(Non-Volatile Random-Access Memory)意为非易失随机存储器,即在断电后仍能保存数据信息。由于对 ramdisk 的操作不会影响闪存中真正存储的系统内核映像和根文件系统,因此 SOHO 路由器一般在 NVRAM 中保存路由器配置文件信息,并在系统每次上电后从 NVRAM 中读取配置信息,对路由器进行相应的设置。在设备运行过程中,用户对路由器设置的修改将会写回 NVRAM 中,从而实现配置更新。图 2-4 展示了获取路由器交互 shell 后,利用命令读取设备NVRAM 中存储的用户名、密码等关键信息配置。
图 4-2 SOHO 路由器固件 析流程Fig.4-2 Page setting graph of paper为了进一步检测非预期端口监听的功能,以及为了防止 SOHO 路由器后门将网络通信隐藏在正常监听的端口服务中,因此还需要进一步对开放的端口进行模糊测试,以检测是否存在非预期的功能。端口模糊测试旨在充分利用计算机的自动化测试能力,从执行流程来讲,如图 4-3 所示主要分为 3 个阶段:1) 针对特定端口预期的服务类型构造随机的请求内容,模糊测试的检测覆盖率,很大程度上取决于准确的确定输入向量,如一般在 80、8080 端口提供的 HTTP服务而言,测试的输入向量需要包括 GET、POST、PUT、DELETE 等多种请求方法。进一步的,在测试期间,需要根据算法和返回响应动态地进行变异,以实现自动化的测试数据生成。2) 发送至相应的路由器端口,记录每一组请求和响应对。与测试数据的生成一样,数据的发送与测试结果的记录同样需要以自动化方式开展。3) 在采集到足够的系统输入输出数据对后,即可根据规则检测区分不同的请求处理行为,检测其中产生的异常、错误的响应集合,分析与正常请求产生差异
【参考文献】:
期刊论文
[1]Software Backdoor Analysis Based on Sensitive Flow Tracking and Concolic Execution[J]. XU Xin,WANG Jiajie,CHENG Shaoyin,ZHANG Tao,JIANG Fan. Wuhan University Journal of Natural Sciences. 2016(05)
[2]SOHO路由器脆弱性的分析和验证[J]. 李翔豪,王轶骏,薛质. 信息安全与通信保密. 2016(08)
[3]基于JTAG的嵌入式设备固件分析技术[J]. 赵亚新,郭玉东,舒辉. 计算机工程与设计. 2014(10)
[4]2013年国际网络空间安全建设动态综述[J]. 叶蕾,王玉蓉. 信息安全与通信保密. 2014(01)
[5]无文件系统嵌入式固件后门检测[J]. 忽朝俭,薛一波,赵粮,李舟军. 通信学报. 2013(08)
[6]“棱镜门”暴露大数据时代隐私危机[J]. 李娜. 科技导报. 2013(18)
[7]基于DNS协议的隐蔽信道研究[J]. 谷传征,王轶骏,薛质. 信息安全与通信保密. 2011(12)
[8]后门植入、隐藏与检测技术研究[J]. 孙淑华,马恒太,张楠,卿斯汉,王晓翠. 计算机应用研究. 2004(07)
博士论文
[1]固件代码逆向分析关键技术研究[D]. 蒋烈辉.解放军信息工程大学 2007
硕士论文
[1]嵌入式设备固件分析的关键技术研究[D]. 鲍庆国.北京工业大学 2016
[2]隐藏型后门程序设计与实现[D]. 朱文杰.北京邮电大学 2006
[3]恶意代码设计和分析技术的研究与实现[D]. 王德强.清华大学 2005
本文编号:3622542
【文章来源】:上海交通大学上海市211工程院校985工程院校教育部直属院校
【文章页数】:90 页
【学位级别】:硕士
【部分图文】:
D-Link路由器特殊User-Agent后门全球分布
3. 根文件系统。嵌入式系统一般以 ramdisk 的方式实现通用操作系统中的硬盘功能。即在RAM 中划分一块不与内核映像位置冲突的内存模拟硬盘功能,随后将 ramdisk 作为设备安装为根文件系统。对 ramdisk 的操作与硬盘这样的永久存储器效果一致,但考虑到系统稳定性,对 ramdisk 的操作一般不会写回闪存中,因此系统断掉后,修改将会消失。常见的SOHO路由器根文件系统格式一般包括rootfs,cpio、squashfs等等。4. NVRAM。NVRAM(Non-Volatile Random-Access Memory)意为非易失随机存储器,即在断电后仍能保存数据信息。由于对 ramdisk 的操作不会影响闪存中真正存储的系统内核映像和根文件系统,因此 SOHO 路由器一般在 NVRAM 中保存路由器配置文件信息,并在系统每次上电后从 NVRAM 中读取配置信息,对路由器进行相应的设置。在设备运行过程中,用户对路由器设置的修改将会写回 NVRAM 中,从而实现配置更新。图 2-4 展示了获取路由器交互 shell 后,利用命令读取设备NVRAM 中存储的用户名、密码等关键信息配置。
图 4-2 SOHO 路由器固件 析流程Fig.4-2 Page setting graph of paper为了进一步检测非预期端口监听的功能,以及为了防止 SOHO 路由器后门将网络通信隐藏在正常监听的端口服务中,因此还需要进一步对开放的端口进行模糊测试,以检测是否存在非预期的功能。端口模糊测试旨在充分利用计算机的自动化测试能力,从执行流程来讲,如图 4-3 所示主要分为 3 个阶段:1) 针对特定端口预期的服务类型构造随机的请求内容,模糊测试的检测覆盖率,很大程度上取决于准确的确定输入向量,如一般在 80、8080 端口提供的 HTTP服务而言,测试的输入向量需要包括 GET、POST、PUT、DELETE 等多种请求方法。进一步的,在测试期间,需要根据算法和返回响应动态地进行变异,以实现自动化的测试数据生成。2) 发送至相应的路由器端口,记录每一组请求和响应对。与测试数据的生成一样,数据的发送与测试结果的记录同样需要以自动化方式开展。3) 在采集到足够的系统输入输出数据对后,即可根据规则检测区分不同的请求处理行为,检测其中产生的异常、错误的响应集合,分析与正常请求产生差异
【参考文献】:
期刊论文
[1]Software Backdoor Analysis Based on Sensitive Flow Tracking and Concolic Execution[J]. XU Xin,WANG Jiajie,CHENG Shaoyin,ZHANG Tao,JIANG Fan. Wuhan University Journal of Natural Sciences. 2016(05)
[2]SOHO路由器脆弱性的分析和验证[J]. 李翔豪,王轶骏,薛质. 信息安全与通信保密. 2016(08)
[3]基于JTAG的嵌入式设备固件分析技术[J]. 赵亚新,郭玉东,舒辉. 计算机工程与设计. 2014(10)
[4]2013年国际网络空间安全建设动态综述[J]. 叶蕾,王玉蓉. 信息安全与通信保密. 2014(01)
[5]无文件系统嵌入式固件后门检测[J]. 忽朝俭,薛一波,赵粮,李舟军. 通信学报. 2013(08)
[6]“棱镜门”暴露大数据时代隐私危机[J]. 李娜. 科技导报. 2013(18)
[7]基于DNS协议的隐蔽信道研究[J]. 谷传征,王轶骏,薛质. 信息安全与通信保密. 2011(12)
[8]后门植入、隐藏与检测技术研究[J]. 孙淑华,马恒太,张楠,卿斯汉,王晓翠. 计算机应用研究. 2004(07)
博士论文
[1]固件代码逆向分析关键技术研究[D]. 蒋烈辉.解放军信息工程大学 2007
硕士论文
[1]嵌入式设备固件分析的关键技术研究[D]. 鲍庆国.北京工业大学 2016
[2]隐藏型后门程序设计与实现[D]. 朱文杰.北京邮电大学 2006
[3]恶意代码设计和分析技术的研究与实现[D]. 王德强.清华大学 2005
本文编号:3622542
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3622542.html
