emlékszel az első nagyszabású Mirai támadásra tavaly év végén? Ez volt az IP kamerákra irányítva, és kihasználta az útválasztó konfigurációk beállításait, amelyeket sok fogyasztó soha nem zavar. A fő bűnös, bár, volt Universal Plug and Play vagy UPnP, amely engedélyezve van, mint egy alapértelmezett beállítás zillions router világszerte.

mi az UPnP?

Ha valaha USB-billentyűzetet csatlakoztatott egy laptophoz, akkor a “plug and play experience” – et élte, de a dolgok gyakran nem olyan egyszerűek a hálózati eszközökkel., Hogyan tudja egy új nyomtató, kamera, kávéfőző vagy játék, hogyan kell csatlakoztatni a hálózathoz, majd konfigurálja az útválasztót, hogy lehetővé tegye a porthoz való hozzáférést?

szeretné megtanulni a ransomware alapjait, és keresni egy CPE hitel? Próbálja ki az ingyenes tanfolyamot.

” egy óra alatt megtanítom neked a zsarolóvírusok alapjait, és mit tehetsz, hogy megvédd és felkészülj rá.”

az UPnP egy kényelmes módja annak, hogy a modulok más eszközöket találjanak a hálózaton, és szükség esetén módosítsák az útválasztót, hogy lehetővé tegyék az eszközhöz való hozzáférést a hálózaton kívülről., Az Internet Gateway Device Protocol segítségével az UPnP kliens megszerezheti a hálózat külső IP-címét, valamint új port-továbbítási leképezéseket adhat hozzá a beállítási folyamat részeként.

Ez rendkívül kényelmes fogyasztói szempontból, mivel jelentősen csökkenti az új eszközök beállításának összetettségét. Sajnos ezzel a kényelemmel számos sebezhetőség és nagyszabású támadás érte az UPnP-t.

UPnP: a veszély

azonban ez a kényelmi tényező nyitást biztosít a hackerek számára., Mirai esetében ez lehetővé tette számukra, hogy átvizsgálják ezeket a portokat, majd a másik végén feltörjék az eszközt.

A hackerek most az UPnP még ördögibb használatát találták a pinkslipbot banki trójai, más néven QakBot vagy QBot néven.

2000 óta a QakBot megfertőzi a számítógépeket, telepít egy kulcsloggert, majd banki hitelesítő adatokat küld a remote Command and Control (C2) szerverekre.

emlékszik a C2-re?,

amikor megírtuk az első sorozatunkat a toll teszteléséről, leírtuk, hogy az áldozatok számítógépein tartózkodó távoli hozzáférési trójaiak (patkányok) hogyan küldenek parancsokat távolról a hackerek szervereiről HTTP vagy HTTPS kapcsolaton keresztül.

Ez egy lopakodó megközelítés a kizsákmányolás után, mert nagyon megnehezíti az informatikai biztonság számára a rendellenességek észlelését., Végül is a hálózatot figyelő rendszergazdának vagy technikusnak csak úgy tűnik, hogy a felhasználó webböngészést végez — annak ellenére, hogy a patkány beágyazott parancsokat kap a billentyűleütések naplózására vagy a PII keresésére, valamint jelszavak, hitelkártya-számok stb. a C2S.

a megfelelő védelem ezzel szemben az ismert C2 rejtekhelyek domainjeinek blokkolása. Természetesen ez egy macska-egér játék lesz a hackerekkel, mivel új sötét foltokat találnak az interneten, hogy kiszolgálóikat beállítsák, mivel a régieket a vállalati biztonsági csapatok kiszűrik.,

és ez az, ahol Pinkslipbot hozzáadott jelentős újítás. Jobb kifejezés hiányában bevezette a középső rosszindulatú programokat, amelyek megfertőzik a számítógépeket, de nem veszik figyelembe a felhasználói hitelesítő adatokat! Ehelyett a középső rosszindulatú program egy proxy C2 szervert telepít, amely a HTTPS-t továbbítja a valódi C2 szerverekre.

Middle-malware: C2 szerverek bárhol lehetnek!

a Pinkslipbot infrastruktúra ezért nem rendelkezik rögzített domainnel a C2 szervereik számára. Valójában az egész Web a játéktér!, Ez azt jelenti, hogy szinte lehetetlen fenntartani az ismert domainek vagy címek listáját a szűréshez.

mi köze az UPnP-nek a Pinkslipbot-hoz?

amikor a Pinkslipbot átveszi a fogyasztói laptopot, ellenőrzi, hogy engedélyezve van-e az UPnP. Ha igen, akkor a Pinkslipbot middle-malware egy UPnP kérést ad ki az útválasztónak egy nyilvános port megnyitásához. Ez lehetővé teszi, hogy a Pinslipbot ezután reléként működjön a patkányokkal fertőzött számítógépek és a hackerek C2 szerverei között (lásd az ábrát).

Ez ördögi, és könyörtelenül adok ezeknek a srácoknak egy (fekete) kalap tippet.,

mindannyiunk számára az ilyen típusú támadások nehezebbé tételének egyik módja az, hogy egyszerűen letiltjuk az UPnP vagy port-továbbítási funkciót otthoni útválasztóinkon. Valószínűleg nincs rá szüksége!

egyébként itt láthatja ezt a saját otthoni Linksys útválasztóm számára. És amíg az újrakonfigurálást végzi, szánjon időt arra, hogy jobb adminisztrációs jelszót hozzon létre.

tegye ezt most!

Security Stealth Wars: IT Is Not Winning (with Perimeter Defenses)

adathalászat, FUD malware, malware-free hacking with PowerShell, and now hidden C2 servers., A hackerek egyre a felső-kéz a post-kizsákmányolás: a tevékenységek szinte lehetetlen blokk, vagy a helyszínen, a hagyományos területet biztonsági technikák, malware, szkennelés.

mi a teendő?

az első rész valóban pszichológiai: hajlandónak kell lennie elfogadni, hogy a támadók bejutnak. Tudom, hogy ez azt jelenti, hogy beismerjük a vereséget, ami fájdalmas lehet az IT és a tech emberek számára. De most már felszabadult, hogy megvédje a megközelítés, hogy már nincs értelme!,

miután átjutott ezen a mentális akadályon, a következő rész következik: másodlagos védelemre van szüksége a hackelés észleléséhez, amely nem függ a rosszindulatú programok aláírásától vagy a hálózati monitorozástól.

azt hiszem, tudod, hová megy ez. Védelmi szoftver, ami alapján – várj csak — a Felhasználói Viselkedés Analytics (UBA) kiszúrja az egyik része a támadás, hogy nem lehet rejtett: keres PII a fájlrendszer elérése kritikus mappák, fájlok másolása a tartalom.

valójában megadja a hackereknek a számítógépes csatatér egy kis részét, csak hogy később legyőzzék őket.