denken Sie Daran, die erste große Mirai-Angriff Ende vergangenen Jahres? Das war derjenige, der sich an IP-Kameras richtete und Router-Konfigurationseinstellungen nutzte, die viele Verbraucher nie ändern wollten. Der Hauptschuldige war jedoch Universal Plug and Play oder UPnP, das als Standardeinstellung für Zillions von Routern weltweit aktiviert ist.

Was ist UPnP?

Wenn Sie jemals angeschlossen ist eine USB-Tastatur in einen laptop, Sie haben gelebt, die „plug-and-play-Erfahrung“, aber die Dinge sind oft nicht so einfach mit vernetzten Geräten., Woher weiß ein neuer Drucker, eine neue Kamera, eine Kaffeekanne oder ein neues Spielzeug, wie Sie es an Ihr Netzwerk anschließen und dann Ihren Router so konfigurieren, dass er auf den Port zugreifen kann?

Möchten Sie Ransomware Grundlagen lernen und einen CPE Kredit verdienen? Probieren Sie unseren kostenlosen Kurs.

“ In nur einer Stunde werde ich Ihnen die Grundlagen der Ransomware beibringen und was Sie tun können, um sie zu schützen und darauf vorzubereiten.“

UPnP ist eine bequeme Möglichkeit, Gadgets zu ermöglichen, andere Geräte in Ihrem Netzwerk zu finden und gegebenenfalls Ihren Router zu ändern, um den Gerätezugriff von außerhalb Ihres Netzwerks zu ermöglichen., Über das Internet Gateway Device Protocol kann ein UPnP-Client die externe IP-Adresse Ihres Netzwerks abrufen und im Rahmen des Setup-Prozesses neue Portweiterleitungszuordnungen hinzufügen.

Dies ist aus Verbrauchersicht äußerst praktisch, da es die Komplexität beim Einrichten neuer Geräte erheblich verringert. Leider haben mit dieser Bequemlichkeit kommen mehrere Schwachstellen und groß angelegte Angriffe, die UPnP ausgenutzt haben.

UPnP: Die Gefahr

Dieser Komfortfaktor bietet jedoch eine Öffnung für Hacker., Im Fall von Mirai konnten sie nach diesen Ports suchen und sich dann am anderen Ende in das Gerät hacken.

Hacker haben jetzt eine noch teuflischere Verwendung von UPnP mit dem Banking-Trojaner Pinkslipbot, auch bekannt als QakBot oder QBot, gefunden.

Seit 2000 infiziert QakBot Computer, installiert einen Keylogger und sendet dann Bankanmeldeinformationen an Remote Command and Control (C2) – Server.

Erinnerst du dich an C2?,

Als wir unsere erste Serie über Pen-Tests geschrieben haben, haben wir beschrieben, wie Remote Access Trojaner (Ratten), die sich auf den Computern der Opfer befinden, Befehle remote von den Servern der Hacker über eine HTTP-oder HTTPS-Verbindung gesendet werden.

Dies ist ein heimlicher Ansatz in der Nachnutzung, da es für die IT-Sicherheit sehr schwierig ist, Auffälligkeiten zu erkennen., Schließlich scheint es für einen Administrator oder Techniker, der das Netzwerk beobachtet, nur so zu sein, als würde der Benutzer im Internet surfen — obwohl der Benutzer eingebettete Befehle zum Protokollieren von Tastenanschlägen oder zum Suchen nach PII und zum Exfiltrieren von Passwörtern, Kreditkartennummern usw. erhält. zum C2s.

Die richtige Verteidigung dagegen besteht darin, die Domänen bekannter C2-Verstecke zu blockieren. Natürlich wird es ein Katz-und-Maus-Spiel mit den Hackern, wenn sie neue dunkle Flecken im Web finden, um ihre Server einzurichten, da alte von Unternehmenssicherheitsteams herausgefiltert werden.,

Und hier hat Pinkslipbot eine bedeutende Innovation hinzugefügt. Es hat, mangels eines besseren Begriffs, Mittel-Malware eingeführt, die Computer infiziert, aber nicht Benutzeranmeldeinformationen zu nehmen! Stattdessen installiert die mittlere Malware einen Proxy C2-Server, der HTTPS an die echten C2-Server weiterleitet.

Mitte-malware: C2-Servern kann überall sein!

Die Pinkslipbot-Infrastruktur verfügt daher nicht über eine feste Domäne für ihre C2-Server. In der Tat ist das gesamte Web ihr Spielfeld!, Dies bedeutet, dass es fast unmöglich ist, eine Liste bekannter Domänen oder Adressen zum Herausfiltern zu führen.

Was hat UPnP mit Pinkslipbot zu tun?

Wenn der Pinkslipbot einen Consumer-Laptop übernimmt, prüft er, ob UPnP aktiviert ist. Wenn ja, gibt der Pinkslipbot Middle-Malware eine UPnP-Anfrage an den Router aus, um einen öffentlichen Port zu öffnen. Auf diese Weise kann Pinslipbot dann als Relais zwischen den mit den Ratten infizierten Computern und den C2-Servern der Hacker fungieren (siehe Diagramm).

Es ist teuflisch, und ich gebe diesen Jungs widerwillig einen (schwarzen) Huttipp.,

Eine Möglichkeit für uns alle, diese Art von Angriffen zu erschweren, besteht darin, die UPnP-oder Portweiterleitungsfunktion auf unseren Heimroutern einfach zu deaktivieren. Sie brauchen es wahrscheinlich nicht!

Übrigens können Sie dies hier für meinen eigenen Linksys Router sehen. Und während Sie die Neukonfiguration durchführen, nehmen Sie sich Zeit, um ein besseres Admin-Passwort zu finden.

Mach das jetzt!

Sicherheit Stealth Wars: ES gewinnt nicht (mit Perimeter Defenses)

Phishing, FUD Malware, Malware-freies Hacken mit PowerShell und jetzt versteckte C2 Server., Die Hacker gewinnen die Oberhand in der Post-Ausbeutung: ihre Aktivitäten sind fast unmöglich zu blockieren oder vor Ort mit traditionellen Perimeter-Sicherheitstechniken und Malware-Scanning.

Was tun?

Der erste Teil ist wirklich psychologisch: Man muss bereit sein zu akzeptieren, dass die Angreifer einsteigen. Mir ist klar, dass es bedeutet, eine Niederlage zuzugeben, was für IT-und Tech-Leute schmerzhaft sein kann. Aber jetzt bist du befreit davon, einen Ansatz verteidigen zu müssen, der keinen Sinn mehr macht!,

Sobald Sie diese mentale Barriere überwunden haben, folgt der nächste Teil: Sie benötigen eine sekundäre Verteidigung zum Erkennen von Hacking, das nicht auf Malware-Signaturen oder Netzwerküberwachung angewiesen ist.

Ich glaube, Sie wissen, wohin das geht. Defensive Software, die auf – Wait for it — User Behavior Analytics (UBA) basiert, kann den einen Teil des Angriffs erkennen, der nicht ausgeblendet werden kann: Suche nach PII im Dateisystem, Zugriff auf kritische Ordner und Dateien und Kopieren des Inhalts.

Tatsächlich gewähren Sie den Hackern einen kleinen Teil des Cyber-Schlachtfeldes, nur um sie später zu besiegen.