husk det første store Mirai-angreb i slutningen af sidste år? Det var den, der var rettet mod IP-kameraer og udnyttede routerkonfigurationsindstillinger, som mange forbrugere aldrig gider at ændre. Den største skyldige var dog Universal Plug and Play eller UPnP, som er aktiveret som standardindstilling på rouillions af routere over hele verden.

Hvad er UPnP?

Hvis du nogensinde har tilsluttet et USB-tastatur til en bærbar computer, har du levet “plug and play-oplevelsen”, men tingene er ofte ikke så ligetil med netværksenheder., Hvordan ved en ny printer, kamera, kaffekande eller legetøj, hvordan man vedhæfter til dit netværk og derefter konfigurerer din router for at give mulighed for portadgang?

vil du lære ransom ?are basics og tjene en CPE-Kredit? Prøv vores gratis kursus.

“på bare en time lærer jeg dig de grundlæggende elementer i Ransom .are, og hvad du kan gøre for at beskytte og forberede dig på det.”

UPnP er en bekvem måde at tillade gadgets at finde andre enheder på dit netværk og om nødvendigt ændre din router for at give adgang til enheden fra uden for dit netværk., Via internet Gate .ay Device Protocol kan en UPnP-klient få den eksterne IP-adresse til dit netværk og tilføje nye port for .arding mappings som en del af dens installationsproces.

Dette er ekstremt praktisk fra et forbrugerperspektiv, da det i høj grad reducerer kompleksiteten ved opsætning af nye enheder. Desværre, med denne bekvemmelighed er kommet flere sårbarheder og store angreb, som har udnyttet UPnP.

UPnP: faren

denne bekvemmelighedsfaktor giver dog en åbning for hackere., I tilfælde af Mirai tillod det dem at scanne efter disse porte og derefter hacke ind i enheden i den anden ende.hackere har nu fundet en endnu mere diabolisk brug af UPnP med bank trojan Pinkslipbot, også kendt som .akbot eller .bot.omkring siden 2000 inficerer Aroundakbot computere, installerer en nøglelogger og sender derefter bankoplysninger til fjernbetjeningskommando og kontrol (C2) servere.

husk C2?,

da vi skrev vores første serie om pen-test, beskrev vi, hvordan fjernadgang trojanere (rotter), der bor på ofrenes computere, sendes kommandoer eksternt fra hackernes servere over en HTTP-eller HTTPS-forbindelse.

Dette er en stealthy tilgang i post-udnyttelse, fordi det gør det meget vanskeligt for IT-sikkerhed at få øje på eventuelle abnormiteter., Når alt kommer til alt, til en administrator eller tekniker, der ser på netværket, ser det bare ud til, at brugeren bro .ser på nettet — selvom rotten modtager indlejrede kommandoer til at logge tastetryk eller søge efter PII, og e .filtrating adgangskoder, kreditkortnumre, etc. til C2s.

det rigtige forsvar mod dette er at blokere domænerne for kendte C2 skjulesteder. Selvfølgelig, det bliver en kat-og-mus spil med hackere, som de finder nye mørke pletter på nettet til at oprette deres servere som gamle filtreres ud af virksomhedernes sikkerhedshold.,

og det er her Pinkslipbot har tilføjet en betydelig innovation. Det har indført, i mangel af et bedre udtryk, midt-Mal !are, som inficerer computere, men ikke at tage brugeroplysninger! I stedet installerer den midterste Mal .are en pro .y C2-server, der videresender HTTPS til de rigtige C2-servere.

Middle-malware: C2-servere kan være hvor som helst!

Pinkslipbot-infrastrukturen har derfor ikke et fast domæne til deres C2-servere. I virkeligheden, hele nettet er deres spilleregler!, Det betyder, at det er næsten umuligt at opretholde en liste over kendte domæner eller adresser, der skal filtreres ud.hvad har UPnP at gøre med Pinkslipbot?

Når Pinkslipbot overtager en forbruger-bærbar computer, kontrollerer den, om UPnP er aktiveret. Hvis det er, udsender Pinkslipbot middle-Mal .are en UPnP-anmodning til routeren om at åbne en offentlig port. Dette gør det muligt for Pinslipbot at fungere som et relæ mellem disse computere inficeret med rotterne og hackernes C2-servere (se diagrammet).

det er fiendish, og jeg begrudgingly giver disse fyre et (sort) hat tip.,en måde for os alle at gøre disse slags angreb vanskeligere at trække af er blot at deaktivere UPnP-eller port-for .arding-funktionen på vores hjemmeroutere. Du har sandsynligvis ikke brug for det!af den måde, kan du se dette gjort her for mit eget hjem Linksys router. Og mens du udfører omkonfigurationen, skal du tage dig tid til at komme med en bedre admin-adgangskode.

gør dette nu!

Sikkerhed Stealth Wars: DET Er Ikke at Vinde (Med Perimeter-Forsvar)

Phishing, FUD malware, malware-fri hacking med PowerShell, og nu er skjult C2-servere., Hackerne vinder overhånden i post-udnyttelse: deres aktiviteter er næsten umulige at blokere eller få øje på med traditionelle perimetersikkerhedsteknikker og mal .are-scanning.

Hvad skal man gøre?

den første del er virkelig psykologisk: du skal være villig til at acceptere, at angriberen kommer ind. Jeg er klar over, at det betyder at indrømme nederlag, hvilket kan være smertefuldt for IT-og tech-folk. Men nu er du befriet fra at skulle forsvare en tilgang, der ikke længere giver mening!,

Når du har passeret denne mentale barriere, følger den næste del: du har brug for et sekundært forsvar til at opdage hacking, der ikke er afhængig af Mal .are-signaturer eller netværksovervågning.

Jeg tror, du ved, hvor dette går. Defensive software, der er baseret på – vent på det — Bruger-Adfærd Analytics (UBA) kan spotte en del af de angreb, som ikke kan skjules: søgning af OPLYSNINGER i filsystemet, adgang til kritiske mapper og filer, og kopiere indholdet.

i virkeligheden giver du hackerne en lille del af cyberslagmarken, kun for at besejre dem senere.