Ricordate il primo attacco su larga scala Mirai alla fine dello scorso anno? Quello era quello diretto alle telecamere IP e ha approfittato delle impostazioni delle configurazioni del router che molti consumatori non si preoccupano mai di cambiare. Il colpevole principale, però, era Universal Plug and Play o UPnP, che è abilitato come impostazione predefinita su migliaia di router in tutto il mondo.
Che cos’è UPnP?
Se hai mai collegato una tastiera USB a un laptop, hai vissuto l’esperienza “plug and play”, ma spesso le cose non sono così semplici con i dispositivi in rete., In che modo una nuova stampante, fotocamera, caffettiera o giocattolo sanno come collegare alla rete e quindi configurare il router per consentire l’accesso alla porta?
Vuoi imparare le basi ransomware e guadagnare un credito CPE? Prova il nostro corso gratuito.
UPnP è un modo conveniente per consentire ai gadget di trovare altri dispositivi sulla rete e, se necessario, modificare il router per consentire l’accesso al dispositivo dall’esterno della rete., Tramite Internet Gateway Device Protocol, un client UPnP può ottenere l’indirizzo IP esterno della rete e aggiungere nuove mappature di port forwarding come parte del processo di configurazione.
Questo è estremamente conveniente dal punto di vista del consumatore in quanto riduce notevolmente la complessità della configurazione di nuovi dispositivi. Purtroppo, con questa convenienza sono venuti molteplici vulnerabilità e attacchi su larga scala che hanno sfruttato UPnP.
UPnP: Il pericolo
Tuttavia, questo fattore di convenienza fornisce un’apertura per gli hacker., Nel caso di Mirai, ha permesso loro di eseguire la scansione di queste porte e quindi di hackerare il dispositivo all’altra estremità.
Gli hacker hanno ora trovato un uso ancora più diabolico di UPnP con il trojan bancario Pinkslipbot, noto anche come QakBot o QBot.
Circa dal 2000, QakBot infetta i computer, installa un key logger e quindi invia le credenziali bancarie ai server C2 (Remote Command and Control).
Ricorda C2?,
Quando abbiamo scritto la nostra prima serie su pen testing, abbiamo descritto come i trojan di accesso remoto (RATTI) che risiedono sui computer delle vittime vengono inviati comandi in remoto dai server degli hacker tramite una connessione HTTP o HTTPS.
Questo è un approccio furtivo nel post-sfruttamento perché rende molto difficile per la sicurezza IT individuare eventuali anomalie., Dopo tutto, a un amministratore o un tecnico che guarda la rete sembrerebbe che l’utente stia navigando sul web, anche se il RAT riceve comandi incorporati per registrare le sequenze di tasti o cercare PII ed esfiltrare password, numeri di carte di credito, ecc. per il C2s.
La giusta difesa contro questo è bloccare i domini dei nascondigli C2 noti. Naturalmente, diventa un gioco di gatto e topo con gli hacker mentre trovano nuovi punti oscuri sul Web per impostare i loro server mentre quelli vecchi vengono filtrati dai team di sicurezza aziendali.,
Ed è qui che Pinkslipbot ha aggiunto un’innovazione significativa. Ha introdotto, per mancanza di un termine migliore, middle-malware, che infetta i computer, ma non per prendere le credenziali dell’utente! Invece, il middle-malware installa un server proxy C2 che trasmette HTTPS ai server C2 reali.
L’infrastruttura Pinkslipbot non ha quindi un dominio fisso per i propri server C2. In effetti, l’intero Web è il loro campo di gioco!, Significa che è quasi impossibile mantenere un elenco di domini o indirizzi noti da filtrare.
Che cosa ha a che fare UPnP con Pinkslipbot?
Quando il Pinkslipbot sta rilevando un laptop consumer, controlla se UPnP è abilitato. Se lo è, il Pinkslipbot medio-malware emette una richiesta UPnP al router per aprire una porta pubblica. Ciò consente a Pinslipbot di fungere da relè tra i computer infetti dai ratti e i server C2 degli hacker (vedere il diagramma).
È diabolico, e a malincuore do a questi ragazzi una punta di cappello (nera).,
Un modo per tutti noi per rendere questo tipo di attacchi più difficile da tirare fuori è quello di disattivare semplicemente la funzione UPnP o port-forwarding sui nostri router di casa. Probabilmente non ne hai bisogno!
A proposito, puoi vedere questo fatto qui per il mio router Linksys di casa. E mentre stai eseguendo la riconfigurazione, prenditi il tempo per trovare una password di amministratore migliore.
Fallo ora!
Security Stealth Wars: Non è vincente (con difese perimetrali)
Phishing, FUD malware, hacking senza malware con PowerShell, e ora nascosti server C2., Gli hacker stanno prendendo il sopravvento nel post-sfruttamento: le loro attività sono quasi impossibili da bloccare o individuare con le tradizionali tecniche di sicurezza perimetrale e la scansione del malware.
Cosa fare?
La prima parte è davvero psicologica: bisogna essere disposti ad accettare che gli attaccanti entrino. Mi rendo conto che significa ammettere la sconfitta, che può essere dolorosa per le persone IT e tech. Ma ora sei liberato dal dover difendere un approccio che non ha più senso!,
Una volta superata questa barriera mentale, segue la parte successiva: è necessaria una difesa secondaria per rilevare l’hacking che non dipende dalle firme del malware o dal monitoraggio della rete.
Penso che tu sappia dove sta andando. Il software difensivo basato su-wait for it-User Behavior Analytics (UBA) può individuare l’unica parte dell’attacco che non può essere nascosta: cercare PII nel file system, accedere a cartelle e file critici e copiare il contenuto.
In effetti, concedi agli hacker una piccola parte del campo di battaglia informatico, solo per sconfiggerli in seguito.
Lascia un commento