Разработанный компанией Talos Group инструмент позволяет администраторам сканировать сеть для обнаружения маршрутизаторов, предположительно инфицированных вредоносным ПО SYNful Knock. Напомним, эксперты из группы Shadowserver Foundation, отслеживающей активность хакерских бот-сетей, обнаружили, что вредоносом SYNful Knock инфицировано порядка 200 маршрутизаторов производства Cisco, используемых различными предприятиями в 31 стране мира.
Вредонос модифицировал прошивку Cisco и предоставлял злоумышленникам неограниченный доступ к сетевому оборудованию, включая возможность загружать дополнительные модули. ИБ-экспертам из Cisco удалось получить копию и проанализировать поведение вредоносного ПО. Представитель компании Talos Group Уильям Маквей (William McVey) сообщил, что благодаря исследованию SYNful Knock специалисты смогли разработать инструмент, который позволит пользователям просканировать их сети и определить маршрутизаторы, которые могли быть инфицированы вредоносом. Маквей предупредил, что сканер в настоящее время может выявлять только известную на данный момент версию SYNful Knock. К сожалению, инструмент не сможет определить модернизированные варианты вредоноса. Для того чтобы использовать новый инструмент, пользователю понадобятся Python 2.7 и библиотека для работы с сетевыми пакетами Scapy 2.3.1. (Talos Group/NovostIT)