Vzpomínáte si na první rozsáhlý útok Mirai koncem loňského roku? To byl ten, který byl zaměřen na IP kamery a využil nastavení konfigurace routeru, které mnozí spotřebitelé nikdy neobtěžují měnit. Hlavním viníkem však byl Universal Plug and Play nebo UPnP, který je povolen jako výchozí nastavení na zillions routerů po celém světě.

co je UPnP?

Pokud jste někdy připojili klávesnici USB k notebooku, žili jste „plug and play experience“, ale u síťových zařízení to často není tak jednoduché., Jak nová tiskárna, fotoaparát, kávovar nebo hračka vědí, jak se připojit k síti a poté nakonfigurovat směrovač tak, aby umožňoval přístup k portu?

chcete se naučit základy ransomwaru a získat kredit CPE? Vyzkoušejte náš bezplatný kurz.

“ za pouhou hodinu vás naučím základy ransomwaru a co můžete udělat pro ochranu a přípravu na něj.“

UPnP je pohodlný způsob, jak umožnit gadgets najít jiné zařízení v síti a v případě potřeby upravit router, aby zařízení pro přístup z vnější sítě., Prostřednictvím protokolu zařízení Internet Gateway může klient UPnP získat externí IP adresu pro vaši síť a v rámci procesu nastavení přidat nové mapování přesměrování portů.

to je z pohledu spotřebitele velmi výhodné, protože výrazně snižuje složitost nastavení nových zařízení. Bohužel s tímto pohodlím přišlo několik zranitelností a rozsáhlých útoků, které využily UPnP.

UPnP: nebezpečí

tento faktor pohodlí však poskytuje hackerům otevření., V případě Mirai jim to umožnilo skenovat tyto porty a poté proniknout do zařízení na druhém konci.

hackeři nyní našli ještě ďábelštější použití UPnP s bankovním trojanem Pinkslipbotem, známým také jako QakBot nebo QBot.

kolem od roku 2000, QakBot infikuje počítače, nainstaluje klíčový logger a poté odešle bankovní pověření na servery remote Command and Control (C2).

pamatovat C2?,

Když jsme napsali naši první sérii o testování pen, popsali jsme, jak jsou trojské koně vzdáleného přístupu (krysy) umístěné na počítačích obětí odesílány příkazy vzdáleně ze serverů hackerů přes připojení HTTP nebo HTTPS.

jedná se o nenápadný přístup v post-vykořisťování, protože je pro IT bezpečnost velmi obtížné rozpoznat jakékoli abnormality., Po tom všem, aby správce nebo technik sledování sítě to jen zdá, že uživatel je procházení webu — a to i přesto, že KRYSA je příjem vložené příkazy pro přihlášení stisky kláves, nebo hledat pro PII, a exfiltrating hesla, čísla kreditních karet, atd. na C2s.

správná obrana proti tomu je blokovat domény známých úkrytů C2. Samozřejmě, to se stává cat-and-mouse hra s hackery, protože najít nové tmavé skvrny na webu nastavit své servery jako ty staré jsou odfiltrovány firemními bezpečnostními týmy.,

a to je místo, kde Pinkslipbot přidal významnou inovaci. Zavedla pro nedostatek lepšího termínu střední malware, který infikuje počítače, ale nebere přihlašovací údaje uživatele! Místo toho prostřední malware nainstaluje server proxy C2, který předává HTTPS skutečným serverům C2.

Middle-malware: servery C2 mohou být kdekoli!

infrastruktura Pinkslipbot proto nemá pevnou doménu pro své servery C2. Ve skutečnosti je celý Web jejich hracím polem!, To znamená, že je téměř nemožné udržovat seznam známých domén nebo adres, které je třeba odfiltrovat.

Co má UPnP společného s Pinkslipbotem?

Když Pinkslipbot přebírá spotřebitelský notebook, zkontroluje, zda je UPnP povoleno. Pokud ano, pinkslipbot middle-malware vydá směrovači požadavek UPnP na otevření veřejného portu. To umožňuje, aby Pinslipbot fungoval jako relé mezi těmito počítači infikovanými potkany a servery C2 hackerů (viz diagram).

je to ďábelský, a já upřímně dávám těmto klukům (černý) klobouk.,

jedním ze způsobů, jak nám všem ztížit tyto druhy útoků, je jednoduše zakázat funkci UPnP nebo port-forwarding na našich domácích směrovačích. Pravděpodobně to nepotřebujete!

mimochodem, můžete to vidět zde pro můj vlastní domácí Linksys router. A zatímco provádíte rekonfiguraci, udělejte si čas na to, abyste přišli s lepším heslem správce.

udělejte to teď!

Security Stealth Wars: není to vítězství (s obvodovou obranou)

Phishing, FUD malware, bez malwaru hacking s PowerShell a nyní skryté servery C2., Hackeři získávají navrch v post-vykořisťování: jejich činnosti jsou téměř nemožné blokovat nebo rozpoznat tradičními technikami zabezpečení obvodu a skenováním malwaru.

Co dělat?

první část je opravdu psychologická: musíte být ochotni přijmout, že se útočníci dostanou dovnitř. Uvědomuji si, že to znamená přiznat porážku, což může být bolestivé pro IT a tech lidi. Ale teď jste osvobozeni od nutnosti bránit přístup, který již nemá smysl!,

jakmile překročíte tuto mentální bariéru, následuje další část: potřebujete sekundární obranu pro detekci hackování, která není závislá na podpisech malwaru nebo monitorování sítě.

myslím, že víte, kam to jde. Obranný software, který je založen na-počkejte na to-user Behavior Analytics (UBA) může rozpoznat jednu část útoku, kterou nelze skrýt: hledání PII v souborovém systému, přístup k kritickým složkám a souborům a kopírování obsahu.

ve skutečnosti udělujete hackerům malou část kybernetického bojiště, jen aby je později porazili.