昨年末に最初の大規模なMirai攻撃を覚えていますか? その一つでIPカメラのルーター設定の設定と消費者の多くざいます。 主な犯人は、しかし、世界中のルータの無数のデフォルト設定として有効になっているユニバーサルプラグアンドプレイまたはUPnP、だった。

UPnPとは何ですか?

あなたがラップトップにUSBキーボードを差し込んだことがあるなら、あなたは”プラグアンドプレイ体験”を生きてきましたが、物事はしばしばネットワーク, どのような新しいプリンタ、カメラ、コーヒーポットや玩具を知に添付する方法をネットワークを設定ルーターのためのポートす。

ランサムウェアの基礎を学び、CPEクレジットを獲得したいですか? 無料コースをお試しください。

“ほんの一時間で、私はあなたにランサムウェアの基礎と、それを保護し、準備するために何ができるかを教えてあげましょう。”

UPnPは、ガジェットがネットワーク上の他のデバイスを見つけ、必要に応じてネットワーク外からのデバイスアクセスを可能にするようにルータを変更, UPnPクライアントは、インターネットゲートウェイデバイスプロトコルを介して、ネットワークの外部IPアドレスを取得し、セットアッププロセスの一部として

これは、新しいデバイスのセットアップの複雑さを大幅に減少させるため、消費者の観点から非常に便利です。 残念ながら、この利便性により、UPnPを悪用した複数の脆弱性や大規模な攻撃が発生しています。

UPnP:危険

しかし、この利便性の要因は、ハッカーのための開口部を提供します。, Miraiの場合、それは彼らがこれらのポートをスキャンし、もう一方の端のデバイスに侵入することを可能にしました。

ハッカーは現在、qakbotまたはQBotとしても知られている銀行トロイの木馬PinkslipbotとUPnPのさらに悪魔的な使用を発見しました。

2000年頃から、QakBotはコンピュータに感染し、キーロガーをインストールし、リモートコマンドと制御(C2)サーバーに銀行資格情報を送信します。

C2を覚えていますか?,

ペンテストに関する最初のシリーズを書いたとき、被害者のコンピュータに存在するリモートアクセストロイの木馬(RATs)が、HTTPまたはHTTPS接続を介してハッカー

これは、itセキュリティが異常を発見することを非常に困難にするため、悪用された後のステルスなアプローチです。, 結局のところ、ネットワークを見ている管理者または技術者には、RATがキーストロークを記録したり、PIIを検索したり、パスワード、クレジットカード番号などを C2sへ。

これに対する正しい防御は、既知のC2アジトのドメインをブロックすることです。 もちろん、古いものが企業のセキュリティチームによって除外されるため、サーバーをセットアップするためにウェブ上で新しいダークスポットを見つける,

それがPinkslipbotが重要な革新を加えたところです。 これは、より良い用語の欠如のために、コンピュータに感染するが、ユーザーの資格情報を取ることはない中間マルウェアを導入しました! その代わりに、中のマルウェアを設置プロキシC2サーバーとリレー HTTPSのC2ます。

ミドルマルウェア:C2サーバーはどこにでもできます!

したがって、PinkslipbotインフラストラクチャにはC2サーバー用の固定ドメインがありません。 実際には、ウェブ全体が彼らの活躍の場です!, つまり、除外する既知のドメインまたはアドレスのリストを維持することはほとんど不可能です。

UPnPはPinkslipbotと何の関係がありますか?

Pinkslipbotが消費者のラップトップを引き継いでいるとき、UPnPが有効になっているかどうかを確認します。 そうであれば、pinkslipbot middle-malwareは、パブリックポートを開くためにルーターにUPnP要求を発行します。 これにより、Pinslipbotは、ラットに感染したコンピュータとハッカーのC2サーバー間のリレーとして機能します(図を参照)。

それは悪魔だ、と私はbegrudginglyこれらの人に(黒)帽子のヒントを与えます。,

私たち全員がこの種の攻撃をやってのけるのをより困難にするための一つの方法は、単に自宅のルーターのUPnPまたはポート転送機能を無効にするこ あなたはおそらくそれを必要としない!ところで、あなたはこれが私の家のLinksysルータのためにここで行われているのを見ることができます。 そして再構成を遂行している間、よりよい管理者パスワードを思い付くのに時間をかけなさい。

今すぐこれを行います!

セキュリティステルス戦争:それは(境界防御と)勝っていません

フィッシング、FUDマルウェア、PowerShellとマルウェアフリーのハッキング、そして今隠されたC2, 彼らの活動は、伝統的な境界セキュリティ技術とマルウェアスキャンでブロックまたはスポットすることはほとんど不可能です。

何をすべきか?

最初の部分は本当に心理的です:あなたは攻撃者が入ることを受け入れることを喜んででなければなりません。 私はそれが敗北を認めることを意味することを認識しています。 しかし、今、あなたはもはや意味をなさないアプローチを守ることから解放されています!,

この精神的障壁を通過したら、次の部分は次のとおりです。マルウェアのシグネチャやネットワーク監視に依存しないハッキングを検出するための二次防御が必要です。

私はこれが起こっている場所を知っていると思います。 ユーザー行動分析(UBA)に基づく防御ソフトウェアは、ファイルシステム内のPIIの検索、重要なフォルダやファイルへのアクセス、コンテンツのコピーなど、隠すことができない攻撃の一部を見つけ出すことができます。

実際には、ハッカーにサイバー戦場の小さな部分を与え、後でそれらを倒すだけです。