Husk den første storskala Mirai angrep sent i fjor? Det var den rettet mot IP-kameraer, og tok fordel av ruteren konfigurasjonsinnstillinger som mange forbrukere aldri gidder å endre. Den viktigste årsaken, skjønt, var Universal Plug and Play eller UPnP, som er aktivert som standard innstilling på utallige ruter over hele verden.

Hva er UPnP?

Hvis du har koblet en USB-tastatur inn i en bærbar pc, du har levd «plug and play-opplevelse», men ting er ofte ikke så enkelt med nettverksenheter., Hvordan fungerer en ny printer, kamera, kaffekanne eller leketøy vet hvordan du skal koble til nettverket, og deretter konfigurere ruteren for å tillate port tilgang?

Vil lære ransomware grunnleggende og tjene en CPE kreditt? Prøv våre gratis kurs.

«I bare en time, jeg vil lære deg det grunnleggende av Ransomware og hva du kan gjøre for å beskytte seg og forberede seg til det.»

UPnP er en praktisk måte å la gadgets for å finne andre enheter på nettverket, og om nødvendig endre ruteren for å gi enheten tilgang fra utsiden av nettverket., Via Internett-Gateway Protocol, en UPnP-klient kan få den eksterne IP-adresse for nettverket og legg til en ny port forwarding tilordninger som en del av installasjonsprosessen.

Dette er svært gunstig fra et forbruker-perspektiv, som det i stor grad reduserer kompleksiteten av å sette opp nye enheter. Dessverre, med denne bekvemmelighet har kommet flere sårbarheter og stor-skala angrep som har utnyttet UPnP.

UPnP: Faren

Imidlertid denne faktoren gir en åpning for hackere., I tilfelle av Mirai, det gjorde det mulig for dem å søke etter disse portene, og deretter hacke seg inn enheten i den andre enden.

Hackere har nå funnet en enda mer djevelsk bruk av UPnP med bank trojan Pinkslipbot, også kjent som QakBot eller QBot.

Rundt siden 2000, QakBot infiserer datamaskiner, installerer en nøkkel logger, og deretter sender bank legitimasjon til ekstern Kommando og Kontroll (K2) servere.

Husk C2?,

Når vi skrev vår første serie på penn testing, har vi beskrevet hvordan ekstern tilgang trojanere (Rotter) bosatt på ofrenes datamaskiner sendes kommandoer eksternt fra hackere’ servere over en HTTP-eller HTTPS-tilkobling.

Dette er en snikende tilnærming i post-utnyttelse fordi det gjør det veldig vanskelig for IT-sikkerhet for å oppdage eventuelle forandringer., Tross alt, til en administrator eller tekniker ser på nettverket den vil kun vises som brukeren er nettsurfing — selv om ROTTE mottar innebygde kommandoer for å logge tastetrykk eller søk etter PII (personlig identifiserbar informasjon, og exfiltrating passord, kredittkortnummer, etc. til C2s.

riktig forsvar mot dette er å blokkere domener av kjente C2 skjulesteder. Selvfølgelig, det blir en katt-og-mus-lek med hackere som de finner nye mørke flekker på Nettet til å sette opp sine servere som de gamle er filtrert ut av corporate security team.,

Og det er der Pinkslipbot har lagt en betydelig innovasjon. Det har introdusert, i mangel av et bedre begrep, midt-malware, som infiserer datamaskiner, men ikke å ta med legitimasjon! I stedet, midt-malware installerer en proxy-C2-server som releer HTTPS den virkelige C2-servere.

Midt-malware: C2-servere kan være hvor som helst!

Pinkslipbot infrastruktur derfor ikke har en fast domene for sine C2-servere. Effekten av dette er at hele Nettet er deres banen!, Det betyr at det er nesten umulig å vedlikeholde en liste over kjente domener eller-adresser til å filtrere ut.

Hva gjør UPnP har å gjøre med Pinkslipbot?

Når Pinkslipbot er å ta over en forbruker bærbar pc, er det sjekker for å se om UPnP er aktivert. Hvis det er det, Pinkslipbot midt-malware problemer en UPnP forespørsel til ruteren for å åpne opp en offentlig havn. Dette gjør Pinslipbot å handle deretter som en stafett mellom disse datamaskinene er infisert med Rotter og hackere’ C2-servere (se diagrammet).

Det er utfordrende, og jeg begrudgingly gi disse gutta en (svart) hat tips.,

En måte for oss alle til å gjøre disse typer angrep er vanskeligere å trekke seg er å bare deaktivere UPnP eller port-videresending funksjon på våre hjem rutere. Har du sannsynligvis ikke trenger det!

forresten, du kan se dette gjort her i mitt eget hjem Linksys-ruteren. Og mens du bærer ut rekonfigurering, ta deg tid til å komme opp med en bedre admin-passord.

Gjør dette nå!

Sikkerhet Stealth Wars: DET Er Ikke til å Vinne (Med Perimeter Forsvar)

Phishing, FUD malware, malware-free hacking med PowerShell, og nå skjult C2-servere., Hackere er å få den øvre hånden i post-utnyttelse: deres aktiviteter er nesten umulig å blokkere eller spot med tradisjonelle omkretsen sikkerhet teknikker og malware skanning.

Hva du skal gjøre?

Den første delen er egentlig psykiske: du må være villig til å akseptere at angriperne vil komme i. Jeg innser at det betyr å innrømme nederlag, noe som kan være smertefullt for DET og tech-folk. Men nå er du frigjort fra å ha til å forsvare en tilnærming som ikke lenger gir mening!,

Når du har gått over denne mental barriere, neste del følger: du trenger en sekundær forsvar for å oppdage hacking som ikke er avhengig av malware signaturer eller nettverk overvåking.

jeg tror du vet hvor dette går. Defensive programvare som er basert på vent for det — brukeratferd Analytics (UBA) kan spot en del av angrepet, som ikke kan skjules: søker etter PII i filsystemet, få tilgang til viktige mapper og filer, og å kopiere innholdet.

I praksis, gir du hackere en liten del av cyber slagmarken, bare for å beseire dem senere.