작년 말 첫 대규모 미라이 공격을 기억하십니까? 즉 IP 카메라에 지시 한 많은 소비자가 변경 귀찮게 결코 라우터 구성 설정을 활용했다. 주요 원인,하지만,유니버설 플러그 앤 플레이 또는 UPnP,사용되는 기본 설정에서 엄청나게 라우터 세계적입니다.

UPnP 란 무엇입니까?

경우에 당신이 이제까지 연결하고 USB 키보드로 노트북,당신은 살았고”플러그 앤 플레이 경험을”하지만,일은 종종 그렇게 간단하지 않으로 네트워크로 연결된 장치입니다., 어떻게 새로운 프린터 카메라,커피포 또는 장난감하는 방법을 알고 연결 및 네트워크를 구성 라우터를 허용하기 위한 포트로 접속이 가능한가요?

랜섬웨어 기초를 배우고 CPE 크레딧을 얻고 싶습니까? 우리의 무료 코스를 사용해보십시오.

“한 시간 안에,내가 가르 당신의 기본 랜 섬 그리고 당신은 무엇을 할 수 있을 보호하고 그것을 위해 준비 할 수 있습니다.”

UPnP 는 편리한 방법으로 허용의 기기는 다른 네트워크의 장치 및 필요한 경우 수정 라우터를 허용하는 장치에 대한 액세스를 외부로부터의 네트워크입니다., 인터넷을 통해 게이트웨이 장치를 프로토콜,UPnP 클라이언트를 얻을 수 있습니다 외부의 IP 주소 네트워크에 대한 추가 새로운 포트 포워딩 매핑을의 한 부분으로 설치 과정이다.이것은 새로운 장치를 설정하는 복잡성을 크게 줄이므로 소비자 관점에서 볼 때 매우 편리합니다. 불행하게도,이러한 편의와 함께 여러 취약점과 upnp 를 악용 한 대규모 공격이 발생했습니다.

UPnP:위험

그러나이 편의 요소는 해커를위한 개방을 제공합니다., 미라이의 경우,이들 포트를 스캔 한 다음 다른 쪽 끝에있는 장치를 해킹 할 수있었습니다.

해커가 지금은 더욱 악마의 사용 UPnP 와 금융 trojan Pinkslipbot,로도 알려져 있업 또는 마우스 오른쪽 버튼을 클릭.

2000 년 이래로 QakBot 은 컴퓨터를 감염시키고 키 로거를 설치 한 다음 은행 자격 증명을 원격 명령 및 제어(C2)서버로 보냅니다.

C2 를 기억하십니까?,

때 우리는 쓴 우리의 첫번째 시리즈에서 펜 테스트,우리는 설명하는 방법에 원격 접근 트로이 목마(쥐)에 거주하고 피해자의 컴퓨터로 전송 명령에서 원격으로 해커의 서버를 통해 HTTP 또는 HTTPS 를 연결합니다.

이것은 it 보안이 어떤 이상을 발견하는 것을 매우 어렵게 만들기 때문에 사후 착취에서 은밀한 접근법입니다., 모든 후,관리자나 기술자를 보고 네트워크에 그냥 나타나는 사용자가 웹 검색도 하지만 쥐를 받는 포함된 명령을 로그인 계 검색에 대한 PII 및 exfiltrating 비밀번호,신용 카드 번호,etc. 이것에 대한 올바른 방어는 알려진 C2 은신처의 도메인을 차단하는 것입니다. 의 과정,그것은 고양이와 마우스로 게임을 해커들을 찾아 새로운 어두운 점은 웹에서 설정하도록 서버로 오래된 사람을 필터링하여 기업의 보안 팀이 있습니다.,Pinkslipbot 이 중요한 혁신을 추가 한 곳입니다. 그것은 도입,의 부족을 위해 더 나은 용어,중드는 컴퓨터를 감염시키지만,사용자명! 대신 중간 악성 코드는 HTTPS 를 실제 C2 서버로 릴레이하는 프록시 C2 서버를 설치합니다.

중 악성 코드:C2 서버 어디서나 할 수 있습니다!따라서 Pinkslipbot 인프라에는 C2 서버에 대한 고정 도메인이 없습니다. 사실상,전체 웹은 그들의 경기장입니다!, 이는 필터링 할 알려진 도메인 또는 주소 목록을 유지하는 것이 거의 불가능하다는 것을 의미합니다.

UPnP 는 Pinkslipbot 과 어떤 관련이 있습니까?

pinkslipbot 이 소비자 노트북을 인수 할 때 UPnP 가 활성화되어 있는지 확인합니다. 이 경우 pinkslipbot middle-malware 는 공용 포트를 열기 위해 라우터에 UPnP 요청을 발행합니다. 이를 통해 Pinslipbot 은 쥐에 감염된 컴퓨터와 해커의 C2 서버 사이의 릴레이 역할을 할 수 있습니다(다이어그램 참조).

그것은 악마 다.나는이 녀석들에게(검은 색)모자 팁을 줄 것을 간절히 바란다.,

방법 중 하나는 우리 모두에게 이러한 유형의 공격으로부터 더 어렵다는 단순히 사용 UPnP 또는 포트 포워딩 기능에 우리 집 라우터입니다. 당신은 아마 그것을 필요로하지 않습니다!

그런데,당신은 내 자신의 홈 Linksys 라우터 여기 수행이 볼 수 있습니다. 그리고 재구성을 수행하는 동안 더 나은 관리자 암호를 생각해 낼 시간을 가지십시오.

지금 이것을하십시오!

보안 Stealth 전쟁:그것은 우승(으로 경계 방어)

피싱,FUD 악성 코드,악성 코드가 해킹으로 PowerShell,그리고 이 숨겨진 C2 서버입니다., 해커를 얻고 있는 위쪽 손에 악용:자신의 활동은 거의 불가능하여 블록 또는 장소 전통적인 경계 보안 기술에 악성 코드 검사를 포함하고 있습니다.

무엇을해야합니까?

첫 번째 부분은 정말 심리:당신을 받아들이게 기꺼이 하는 공격을 얻을 것입니다. 나는 그것이 그것과 기술 사람들에게 고통 스러울 수있는 패배를 인정하는 것을 의미한다는 것을 깨닫는다. 그러나 이제는 더 이상 이해가되지 않는 접근 방식을 방어해야하는 것으로부터 해방되었습니다!,

을 통과하면 이 정신적 장벽,다음 부분은 다음과 같다:당신은 필요조에 대한 방어를 검출하는 해킹 그에 의존하지 않는 악성 코드 서명 또는 네트워크 모니터링이 가능합니다.이것이 어디로 가고 있는지 알고 있다고 생각합니다. 방어 소프트웨어 기반으로 하는다.—사용자의 행동을 분석(UBA)할 수 있습니다 장소의 한 부분이 공격에 있는 동네가 숨겨지지 못할 것이:검색에 대한 PII 파일 시스템에 액세스하는 중요한 폴더와 파일에 복사하는 내용입니다.

사실상,당신은 해커에게 사이버 전장의 작은 부분을 부여하여 나중에 그들을 물리 칠뿐입니다.