herinner je je de eerste grootschalige Mirai-aanval eind vorig jaar? Dat was degene gericht op IP-camera ‘ s en maakte gebruik van router configuraties instellingen die veel consumenten nooit de moeite veranderen. De belangrijkste boosdoener was echter Universal Plug and Play of UPnP, die is ingeschakeld als een standaardinstelling op zillions routers wereldwijd.
Wat is UPnP?
als je ooit een USB-toetsenbord op een laptop hebt aangesloten, heb je de “plug and play-ervaring” beleefd, maar dingen zijn vaak niet zo eenvoudig met netwerkapparaten., Hoe weet een nieuwe printer, camera, koffiepot of speeltje hoe je verbinding moet maken met je netwerk en vervolgens je router moet configureren om toegang tot de poort mogelijk te maken?
wilt u de basis van ransomware leren en een CPE-tegoed verdienen? Probeer onze gratis cursus.
UPnP is een handige manier om gadgets toe te staan Andere apparaten op uw netwerk te vinden en indien nodig uw router aan te passen om apparaattoegang van buiten uw netwerk mogelijk te maken., Via het Internet Gateway Device Protocol kan een UPnP-client het externe IP-adres van uw netwerk verkrijgen en nieuwe poortdoorstuurtoewijzingen toevoegen als onderdeel van het installatieproces.
Dit is zeer handig vanuit het oogpunt van de consument, omdat het de complexiteit van het opzetten van nieuwe apparaten sterk vermindert. Helaas, met dit gemak zijn gekomen meerdere kwetsbaarheden en grootschalige aanvallen die UPnP hebben uitgebuit.
UPnP: het gevaar
echter, deze gemaksfactor biedt een opening voor hackers., In het geval van Mirai, het hen toegestaan om te scannen voor deze poorten, en vervolgens hack in het apparaat aan de andere kant.
Hackers hebben nu een nog diabolischer gebruik van UPnP gevonden met de banking trojan Pinkslipbot, ook bekend als QakBot of QBot.
sinds 2000 infecteert QakBot computers, installeert een key logger en stuurt vervolgens bankgegevens naar C2-servers (remote Command and Control).
herinner C2?,
toen we onze eerste serie over pen testing schreven, beschreven we hoe remote access trojans (ratten) die zich op de computers van de slachtoffers bevinden op afstand commando’ s worden verzonden vanaf de servers van de hackers via een HTTP-of HTTPS-verbinding.
Dit is een heimelijke benadering in post-exploitatie omdat het voor IT-beveiliging zeer moeilijk maakt om afwijkingen te herkennen., Immers, om een admin of technicus kijken naar het netwerk zou het gewoon lijken dat de gebruiker surfen op het web — hoewel de RAT ontvangt ingesloten commando ‘ s om toetsaanslagen in te loggen of zoeken naar PII, en exfiltrating wachtwoorden, credit card nummers, enz. naar de C2s.
de juiste verdediging tegen dit is het blokkeren van de domeinen van bekende C2 hideouts. Natuurlijk, het wordt een kat-en-muis spel met de hackers als ze vinden nieuwe donkere vlekken op het Web om het opzetten van hun servers als oude worden uitgefilterd door corporate security teams.,
en dat is waar Pinkslipbot een belangrijke innovatie heeft toegevoegd. Het heeft geïntroduceerd, bij gebrek aan een betere term, Midden-malware, die computers infecteert, maar niet om gebruikersgegevens te nemen! In plaats daarvan installeert de middle-malware een proxy C2-server die HTTPS doorstuurt naar de echte C2-servers.
De Pinkslipbot-infrastructuur heeft daarom geen vast domein voor hun C2-servers. In feite is het hele Web hun speelveld!, Het betekent dat het bijna onmogelijk is om een lijst van bekende domeinen of adressen te houden om uit te filteren.
wat heeft UPnP te maken met Pinkslipbot?
wanneer de Pinkslipbot een consumenten laptop overneemt, controleert het of UPnP is ingeschakeld. Als dat zo is, geeft de Pinkslipbot middle-malware een UPnP-verzoek uit aan de router om een openbare poort te openen. Dit maakt Pinslipbot vervolgens fungeren als een relais tussen die computers besmet met de ratten en de hackers’ C2 servers (zie het diagram).
Het is duivels, en ik geef deze jongens met tegenzin een (zwarte) hoed tip.,
een manier voor ons allemaal om dit soort aanvallen moeilijker uit te voeren is door simpelweg de UPnP of port-forwarding functie op onze thuisrouters uit te schakelen. Je hebt het waarschijnlijk niet nodig!
trouwens, je kunt dit hier zien voor mijn eigen home Linksys router. En terwijl u het uitvoeren van de herconfiguratie, neem de tijd om te komen met een beter admin wachtwoord.
doe dit nu!
Security Stealth Wars: Het is niet winnen (met Perimeter verdediging)
Phishing, FUD malware, malware-vrij hacken met PowerShell, en nu verborgen C2 servers., De hackers winnen de overhand in post-exploitatie: hun activiteiten zijn bijna onmogelijk te blokkeren of ter plaatse met traditionele perimeter beveiligingstechnieken en malware scannen.
wat te doen?
het eerste deel is echt psychologisch: je moet bereid zijn te accepteren dat de aanvallers binnen zullen komen. Ik realiseer me dat het betekent dat je je nederlaag toegeeft, wat pijnlijk kan zijn voor IT en tech mensen. Maar nu ben je bevrijd van het verdedigen van een aanpak die geen zin meer heeft!,
als je eenmaal over deze mentale barrière bent gegaan, volgt het volgende deel: je hebt een secundaire verdediging nodig voor het detecteren van hacking die niet afhankelijk is van malware handtekeningen of netwerk monitoring.
Ik denk dat je weet waar dit heen gaat. Defensieve software die is gebaseerd op — wait for it-User Behavior Analytics (UBA) kan het ene deel van de aanval die niet kan worden verborgen herkennen: zoeken naar PII in het bestandssysteem, toegang tot kritieke mappen en bestanden, en het kopiëren van de inhoud.
in feite geef je de hackers een klein deel van het cyber battlefield, alleen om ze later te verslaan.
Geef een reactie