Coppola是Virtual Security Research(VSR)的安全顧問，他在7月底的Defcon黑客大會上展示了路由器固件后門處理過程--這是需要逆向工程學技術(shù)的復雜的過程。

        在Defcon大會上，他還發(fā)布了一個被稱為路由器Post-Explotation框架(rpef)的工具，該工具能夠?qū)碜圆煌膸卓钪髁髀酚善餍吞栠M行自動化固件后門處理。 rpef支持的設備包括：Netgear WGR614、WNDR3700和WNR1000;Linksys WRT120N;TRENDnet TEW-651BR和TEW-652BRP;D-Link DIR-601和Belkin F5D7230-4。 這些路由器中，只有特定版本才能被該框架添加后門程序，一些還需要更多的測試。然而，rpef所支持的設備在未來還將會不斷增加。 rpef可以向路由器固件增加多個有效載荷：根blind shell，網(wǎng)絡嗅探器或者連接到預定義IRC(互聯(lián)網(wǎng)中繼聊天)服務器的僵尸網(wǎng)絡客戶端，通過這個服務器，僵尸網(wǎng)絡可以接收來自攻擊者的各種命令，包括發(fā)動拒絕服務攻擊（DoS)等。 將后門固件寫入到設備(也被稱為flashing)可以通過大多數(shù)路由器的web管理界面來實現(xiàn)，遠程攻擊者可以從幾個方面來利用這個功能。 一種方法是掃描互聯(lián)網(wǎng)中的路由器，讓其web管理界面可以被遠程訪問，在很多路由器中，這并不是默認設置，但互聯(lián)網(wǎng)中有很多這樣配置的設備。 一旦這些設備被確定，攻擊者就可以嘗試使用默認供應商提供的密碼、暴力破解密碼或者利用身份驗證繞過漏洞來進入設備?；ヂ?lián)網(wǎng)上有很多專門追蹤和記錄路由器默認管理登陸憑證和漏洞的網(wǎng)站。 Coppola表示：我進行了端口掃描，發(fā)現(xiàn)有數(shù)千個正在使用默認密碼遠程收聽互聯(lián)網(wǎng)的開放路由器的IP地址。 然而，即使web界面沒有暴露給互聯(lián)網(wǎng)，攻擊者也可以通過流氓固件來將后門程序遠程寫入設備。 上周四在黑帽安全大會上，來自AppSec安全咨詢公司的安全人員Phil Purviance和Joshua Brashars演示了已知JavaScript攻擊如何結(jié)合新的基于HTML5的技術(shù)，來刷新訪問惡意網(wǎng)站的用戶的路由器上的DD-WRT基于 Linux的自定義固件。 目前已經(jīng)存在基于JavaScript的腳本可以通過受害者的瀏覽器來枚舉本地網(wǎng)絡中的設備，設置可以確定設備的類型、型號等，這項技術(shù)被稱為設備指紋(device fingerprinting)。 Purviance和Brashars表示，確定受害者的內(nèi)部網(wǎng)絡IP地址不能單靠JavaScript來實現(xiàn)，但基于插入內(nèi)容(例如Java)可以用于此目的。 一旦路由器被確定，攻擊者就可以使用默認登錄信息或者發(fā)起跨站請求偽造攻擊(CSRF)，通過受害者的瀏覽器來訪問其web界面。 如果受害者使用與過去相同的瀏覽器來登錄到路由器的web界面，他們的會話cookie將仍然有效，攻擊者可以簡單地將受害者的瀏覽器導向到在路由器的界面中執(zhí)行活動，而不需要進行身份驗證。 很多路由器，尤其是老舊的路由器，沒有更新新固件，沒有CSRF保護。 Purviance和Brashars展示了，XMLHttpRequest Level 2(XHR2)、跨域資源共享(Cross-Origin Resource Sharing，CORS)和HTML5 File API等新的瀏覽器功能如何被用于下載流氓固件文件到用戶的瀏覽器，然后再對路由器進行后門處理，而不需要任何用戶交互。在過去，使用 Javascript和舊的瀏覽器技術(shù)不可能實現(xiàn)。 他們的演示使用了DD-WRT，它存在重新設置路由器的用戶自定義設置的缺點，因為它使用不同的接口，這很容易被發(fā)現(xiàn)。 然而，他們的攻擊可以與Coppola的后門固件結(jié)合起來使用，這樣一來，攻擊者可以上傳后門固件，這個固件將會與原來的固件一模一樣。 即使是用戶自定義設置也可以被保留。大多數(shù)路由器提供在執(zhí)行固件升級時保留設置的選項，這些設置將被保存在被稱為NVRAM(非易失性隨機存儲內(nèi)存)的單獨的內(nèi)存芯片中，當你刷新固件時，它們也不會被覆蓋。 攻擊者只要從路由器就可以發(fā)展大規(guī)模僵尸網(wǎng)絡，Coppola表示，我認為這將會逐漸發(fā)展起來，我并不是嚇唬人。 早在2009年，基于路由器的僵尸網(wǎng)絡還只是一個概念，當時，追蹤受感染計算機IP地址的DroneBL公司發(fā)現(xiàn)一個蠕蟲病毒，這個蠕蟲病毒正在感染路由器和運行mipsel Debian分布的DSL調(diào)制解調(diào)器。 在2011年，來自反病毒供應商趨勢科技的研究人員發(fā)現(xiàn)了類似的針對D-Link路由器的惡意軟件正在拉丁美洲蔓延。 在上述兩種情況中，惡意軟件都是使用暴力破解攻擊和默認登錄信息來感染路由器和安裝臨時僵尸網(wǎng)絡客戶端，當路由器重啟時，這個客戶端將被刪除。 通過Coppola創(chuàng)建的后門固件，即使設備重啟，這種感染仍將持續(xù)，rootkit類型的惡意軟路由器僵尸網(wǎng)絡還沒有普及的原因在于：創(chuàng)建這種僵尸網(wǎng)絡的合適的工具還沒有出現(xiàn)。在Defcon大會上展示的一個被稱為固件逆向工程Koncole(FRAK)在真正意義上提高了人們對固件進行分析的水平。