¿recuerdas el primer ataque Mirai a gran escala a finales del año pasado? Ese fue el dirigido a las cámaras IP y se aprovechó de los ajustes de configuración de enrutadores que muchos consumidores nunca se molestan en Cambiar. El principal culpable, sin embargo, fue Universal Plug and Play o UPnP, que está habilitado como una configuración predeterminada en millones de enrutadores en todo el mundo.
¿Qué es UPnP?
si alguna vez has conectado un teclado USB a una computadora portátil, has vivido la «experiencia plug and play», pero las cosas a menudo no son tan sencillas con los dispositivos en red., ¿Cómo sabe una nueva impresora, cámara, cafetera o juguete cómo conectarse a su red y luego configurar su enrutador para permitir el acceso a puertos?
¿quieres aprender los conceptos básicos de ransomware y ganar un crédito CPE? Prueba nuestro curso gratuito.
UPnP es una forma conveniente de permitir que los gadgets encuentren otros dispositivos en su red y, si es necesario, modifiquen su enrutador para permitir el acceso al dispositivo desde fuera de su red., A través del Protocolo de dispositivo de puerta de enlace de Internet, un cliente UPnP puede obtener la dirección IP externa de su red y agregar nuevas asignaciones de reenvío de puertos como parte de su proceso de configuración.
esto es extremadamente conveniente desde la perspectiva del consumidor, ya que disminuye en gran medida la complejidad de configurar nuevos dispositivos. Desafortunadamente, con esta conveniencia han venido múltiples vulnerabilidades y ataques a gran escala que han explotado UPnP.
UPnP: el peligro
Sin embargo, este factor de conveniencia proporciona una apertura para los hackers., En el caso de Mirai, les permitió escanear estos puertos, y luego hackear el dispositivo en el otro extremo.
Los Hackers ahora han encontrado un uso aún más diabólico de UPnP con el troyano bancario Pinkslipbot, también conocido como QakBot o QBot.
desde el año 2000, QakBot infecta computadoras, instala un registrador de claves y luego envía credenciales bancarias a servidores de comando y Control remoto (C2).
¿recuerdas C2?,
cuando escribimos nuestra primera serie sobre pen testing, describimos cómo los troyanos de acceso remoto (ratas) que residen en las computadoras de las víctimas reciben comandos de forma remota desde los servidores de los hackers a través de una conexión HTTP o HTTPS.
Este es un enfoque sigiloso en la post-explotación porque hace que sea muy difícil para la seguridad de TI detectar cualquier anormalidad., Después de todo, para un administrador o técnico que observa la red, simplemente parecería que el Usuario está navegando por la web, a pesar de que la rata está recibiendo comandos incrustados para registrar las pulsaciones de teclas o buscar PII, y exfiltrar contraseñas, números de tarjetas de crédito, etc. para los C2s.
la defensa correcta contra esto es bloquear los dominios de escondites conocidos de C2. Por supuesto, se convierte en un juego del gato y el ratón con los hackers, ya que encuentran nuevos puntos oscuros en la Web para configurar sus servidores, ya que los antiguos son filtrados por los equipos de seguridad corporativa.,
Y ahí es donde Pinkslipbot ha añadido una innovación significativa. Se ha introducido, a falta de un mejor término, medio-malware, que infecta a los equipos, pero no para tomar las credenciales de usuario! En su lugar, el malware Central instala un servidor proxy C2 que transmite HTTPS a los servidores C2 reales.
por lo tanto, la infraestructura de Pinkslipbot no tiene un dominio fijo para sus servidores C2. En efecto, toda la Web es su campo de juego!, Significa que es casi imposible mantener una lista de dominios o direcciones conocidos para filtrar.
¿Qué tiene que ver UPnP con Pinkslipbot?
Cuando el Pinkslipbot se hace cargo de un portátil de consumo, comprueba si UPnP está habilitado. Si lo es, el malware medio Pinkslipbot emite una solicitud UPnP al enrutador para abrir un puerto público. Esto permite a Pinslipbot actuar como un relé entre los ordenadores infectados con las ratas y los servidores C2 de los hackers (ver el diagrama).
es diabólico, y a regañadientes les doy a estos chicos una punta de sombrero (negro).,
una forma para todos nosotros de hacer que este tipo de ataques sean más difíciles de llevar a cabo es simplemente deshabilitar la función UPnP o reenvío de puertos en nuestros enrutadores domésticos. ¡Probablemente no lo necesites!
Por cierto, puedes ver esto hecho aquí para mi propio router Linksys. Y mientras lleva a cabo la reconfiguración, tómese el tiempo para idear una mejor contraseña de administrador.
¡haz esto ahora!
guerras de sigilo de seguridad: no está ganando (con defensas perimetrales)
Phishing, malware FUD, piratería sin malware con PowerShell y ahora servidores C2 ocultos., Los hackers están ganando la ventaja en la posexplotación: sus actividades son casi imposibles de bloquear o detectar con técnicas tradicionales de seguridad perimetral y escaneo de malware.
¿Qué hacer?
la primera parte es realmente psicológica: tienes que estar dispuesto a aceptar que los atacantes entrarán. Me doy cuenta de que significa admitir la derrota, lo que puede ser doloroso para la gente de ti y tecnología. Pero ahora está liberado de tener que defender un enfoque que ya no tiene sentido!,
una vez que haya pasado por encima de esta barrera mental, la siguiente parte sigue: necesita una defensa secundaria para detectar la piratería que no depende de firmas de malware o monitoreo de red.
creo que sabes a dónde va esto. El software defensivo basado en el análisis del comportamiento del Usuario (UBA) puede detectar la única parte del ataque que no se puede ocultar: buscar PII en el sistema de archivos, acceder a carpetas y archivos críticos y copiar el contenido.
en efecto, les concedes a los hackers una pequeña parte del campo de batalla cibernético, solo para derrotarlos más tarde.
Deja una respuesta