Muistatko ensimmäisen suuren Mirai-iskun viime vuoden lopulla? Tämä oli yksi suunnattu IP-kameroihin ja hyödynsi reitittimen kokoonpanojen asetuksia, joita monet kuluttajat eivät koskaan vaivaudu muuttamaan. Pääsyyllinen oli kuitenkin Universal Plug and Play tai UPnP, joka on käytössä oletusasetuksena zillions-reitittimissä maailmanlaajuisesti.

mitä UPnP on?

Jos olet joskus kytkenyt USB-näppäimistön kannettavaan tietokoneeseen, olet elänyt ”plug and play Experiencen”, mutta asiat eivät useinkaan ole niin suoraviivaisia verkottuneiden laitteiden kanssa., Miten uusi tulostin, kamera, kahvipannu tai lelu osaa liittää verkkoon ja määrittää sitten reitittimesi sallimaan porttiin pääsyn?

Haluatko oppia ransomware perusteet ja ansaita CPE luottoa? Kokeile ilmaista kurssiamme.

”vain yksi tunti, voin opettaa sinulle perustekijät Ransomware ja mitä voit tehdä suojella ja valmistautua siihen.”

UPnP on kätevä tapa mahdollistaa aparaatti löytää muut verkon laitteet, ja tarvittaessa muuttaa reitittimen sallimaan pääsy laitteeseen ulkopuolelta oman verkon., Kautta Internet Gateway Device Pöytäkirjan, UPnP asiakas voi saada ulkoinen IP-osoite, verkon ja lisätä uusia porttien kuvaukset osana sen asennuksen.

Tämä on erittäin kätevä kuluttajan näkökulmasta, koska se suuresti vähentää monimutkaisuutta perustamalla uusia laitteita. Valitettavasti tämän mukavuuden on tullut useita haavoittuvuuksia ja laajamittaisia hyökkäyksiä, jotka ovat hyödyntäneet UPnP.

UPnP: the Danger

kuitenkin tämä mukavuustekijä avaa hakkerit., Mirain tapauksessa se salli heidän skannata nämä portit ja hakkeroida laitteen toiseen päähän.

Hakkerit ovat nyt löytäneet entistä pirullinen käyttää UPnP kanssa banking trojan Pinkslipbot, joka tunnetaan myös nimellä QakBot tai QBot.

Noin vuodesta 2000, QakBot saastuttaa tietokoneita, asentaa key logger, ja sitten lähettää pankki valtakirjaa, jotta kauko-Ohjaus ja valvonta (C2) – palvelimet.

Muistatko C2: n?,

Kun kirjoitimme ensimmäisen sarjan kynä testaus, me kuvataan, miten remote access troijalaiset (Rotat) oleskelevien uhrien tietokoneisiin lähetetään komentoja etänä hakkerit’ palvelimia yli HTTP-tai HTTPS-yhteyttä.

Tämä on salakavala lähestymistapa hyödyntämisen jälkeen, koska se tekee tietoturvan kannalta erittäin vaikeaksi havaita mitään poikkeavuuksia., Sen jälkeen, kun kaikki, admin tai teknikko katsella verkossa, että se vain näyttää, että käyttäjä on web-selailu — vaikka ROTTA saa upotettu komentoja kirjautua näppäimistön tai etsi PII, ja exfiltrating salasanoja, luottokorttien numeroita, jne. C2S.

oikea puolustus tätä vastaan on estää tunnettujen C2-piilopaikkojen verkkotunnukset. Tietenkin, se tulee kissa-ja-hiiri-leikkiä, jossa hakkerit, koska ne löytää uusia tummat läiskät Web-perustaa niiden palvelimet, koska vanhat ovat suodatettu pois yritysturvallisuuden joukkuetta.,

ja siihen Pinslipbot on lisännyt merkittävän innovaation. Se on ottanut käyttöön paremman termin puutteessa keskimmäisen haittaohjelman, joka saastuttaa tietokoneet, mutta ei ota käyttäjien valtakirjoja! Sen sijaan keskimmäinen haittaohjelma asentaa proxy C2-palvelimen, joka välittää HTTPS: n oikeille C2-palvelimille.

Keski-malware: C2-palvelimet voivat olla missä tahansa!

Pinkslipbot infrastruktuurin siksi ei ole kiinteä domain niiden C2-palvelimia. Itse asiassa koko verkko on heidän pelikenttänsä!, Se tarkoittaa, että on lähes mahdotonta ylläpitää luetteloa tunnetuista verkkotunnuksista tai osoitteista suodattaa pois.

Mitä tekemistä UPnP: llä on Pinkslipbotin kanssa?

kun Pinkslipbot ottaa haltuunsa kuluttajan kannettavan tietokoneen, se tarkistaa, onko UPnP käytössä. Jos se on, Pinslipbot middle-malware antaa UPnP pyyntö reitittimen avata julkisen portin. Tämän avulla Pinslipbot voi sitten toimia välittäjänä rottien saastuttamien tietokoneiden ja hakkereiden C2-palvelimien välillä (katso kaavio).

It ’ s fiendish, and I begrudgingly give these guys a (black) hat tip.,

Yksi tapa meille kaikille tehdä tällaisia hyökkäyksiä on vaikeampi vetää pois, on yksinkertaisesti poistaa UPnP-tai satama-huolinta ominaisuus meidän kotiin reitittimet. Et varmaan tarvitse sitä!

muuten, voit katsoa tämän täältä Oman Kotilinjani reitittimeltä. Ja kun olet suorittaa kokoonpanon, ota aikaa keksiä parempi admin-salasana.

tee tämä nyt!

Turvallisuus Varkain Wars: SE ei Ole Voittaa (Kehä Puolustus)

Phishing, FUD-malware, malware-ilmainen hakkerointi Powershellissa, ja nyt piilotettu C2-palvelimia., Hakkerit ovat saamassa ylemmän käden post-hyväksikäyttö: niiden toiminta on lähes mahdotonta estää tai paikka, jossa perinteinen turva tekniikoita ja haittaohjelmien skannaus.

Mitä tehdä?

ensimmäinen osa on todella psykologinen: sinun täytyy olla valmis hyväksymään, että hyökkääjät saavat. Ymmärrän, että se tarkoittaa tappion myöntämistä, mikä voi olla tuskallista sille ja teknikoille. Mutta nyt olet vapautettu puolustamasta lähestymistapaa, joka ei ole enää järkevää!,

kun olet ohittanut tämän henkisen esteen, seuraava osa seuraa: hakkeroinnin havaitsemiseen tarvitaan toissijainen puolustus, joka ei ole riippuvainen haittaohjelmien allekirjoituksista tai verkon seurannasta.

– luulen, että tiedätte, mihin tämä on menossa. Puolustava ohjelmisto, joka perustuu – odota — Käyttäjien Käyttäytymistä Analytics (UBA) voi bongata yksi osa hyökkäys, joka voi olla piilossa: etsiminen PII-tiedostojärjestelmän, pääsy kriittinen kansioita ja tiedostoja, ja kopiointi sisältöä.

itse asiassa annat hakkereille pienen osan cyber battlefieldistä, vain voittaaksesi heidät myöhemmin.