pamiętasz pierwszy wielki atak Mirai pod koniec ubiegłego roku? To był ten skierowany do kamer IP i skorzystał z ustawień konfiguracji routera, że wielu konsumentów nigdy nie przeszkadza zmiany. Głównym winowajcą był jednak Uniwersalny Plug and Play lub UPnP, który jest włączony jako domyślne ustawienie na milionach routerów na całym świecie.

czym jest UPnP?

Jeśli kiedykolwiek podłączyłeś klawiaturę USB do laptopa, przeżyłeś „plug and play experience”, ale rzeczy często nie są tak proste w przypadku urządzeń sieciowych., Jak nowa drukarka, kamera, dzbanek do kawy lub zabawka wie, jak podłączyć się do sieci, a następnie skonfigurować router, aby umożliwić dostęp do portu?

chcesz nauczyć się podstaw ransomware i zdobyć kredyt CPE? Wypróbuj nasz darmowy kurs.

„w ciągu zaledwie godziny nauczę cię podstaw oprogramowania Ransomware i tego, co możesz zrobić, aby go chronić i przygotować.”

UPnP to wygodny sposób pozwalający gadżetom znaleźć inne urządzenia w sieci i w razie potrzeby zmodyfikować router, aby umożliwić dostęp do urządzenia spoza sieci., Za pośrednictwem protokołu Internet Gateway Device, klient UPnP może uzyskać zewnętrzny adres IP Twojej sieci i dodać nowe mapowania przekierowania portów w ramach procesu konfiguracji.

jest to niezwykle wygodne z punktu widzenia konsumenta, ponieważ znacznie zmniejsza złożoność konfiguracji nowych urządzeń. Niestety, z tej wygody przyszło wiele luk i ataków na dużą skalę, które wykorzystały UPnP.

UPnP: niebezpieczeństwo

jednak ten czynnik wygody zapewnia otwarcie dla hakerów., W przypadku Mirai, to pozwoliło im skanować w poszukiwaniu tych portów, a następnie włamać się do urządzenia na drugim końcu.

hakerzy odkryli teraz jeszcze bardziej diaboliczne użycie UPnP z bankowym trojanem Pinkslipbot, znanym również jako QakBot lub QBot.

od 2000 roku QakBot infekuje komputery, instaluje rejestrator kluczy, a następnie wysyła poświadczenia bankowe na zdalne serwery C2.

pamiętasz C2?,

kiedy pisaliśmy naszą pierwszą serię o testach piórowych, opisywaliśmy, w jaki sposób trojany zdalnego dostępu (szczury) przebywające na komputerach ofiar wysyłają polecenia zdalnie z serwerów hakerów za pośrednictwem połączenia HTTP lub HTTPS.

jest to dyskretne podejście w post-exploitingu, ponieważ bardzo utrudnia bezpieczeństwo IT wykrycie jakichkolwiek nieprawidłowości., Wszakże adminowi lub technikowi obserwującemu sieć po prostu wydaje się, że użytkownik przegląda Internet — nawet jeśli szczur otrzymuje wbudowane polecenia do logowania naciśnięć klawiszy lub wyszukiwania PII, a także do usuwania haseł, numerów kart kredytowych itp. do C2s.

właściwą obroną przed tym jest blokowanie domen znanych kryjówek C2. Oczywiście staje się to zabawą dla hakerów, gdy znajdują nowe ciemne plamy w sieci, aby skonfigurować swoje serwery, ponieważ stare są filtrowane przez korporacyjne zespoły bezpieczeństwa.,

i właśnie tam Pinkslipbot wprowadził znaczącą innowację. Wprowadził, z braku lepszego terminu, średnie złośliwe oprogramowanie, które infekuje komputery, ale nie po to, aby pobierać dane uwierzytelniające użytkowników! Zamiast tego złośliwe oprogramowanie instaluje serwer proxy C2, który przekazuje HTTPS do prawdziwych serwerów C2.

Middle-malware: serwery C2 mogą być wszędzie!

Infrastruktura Pinkslipbot nie ma zatem stałej domeny dla swoich serwerów C2. W efekcie cała sieć jest ich polem gry!, Oznacza to, że utrzymanie listy znanych domen lub adresów do odfiltrowania jest prawie niemożliwe.

Co UPnP ma wspólnego z Pinkslipbotem?

Gdy Pinkslipbot przejmuje laptop konsumencki, sprawdza, czy UPnP jest włączone. Jeśli tak jest, średnie złośliwe oprogramowanie Pinkslipbot wysyła żądanie UPnP do routera w celu otwarcia portu publicznego. Pozwala to Pinslipbotowi działać jako przekaźnik między komputerami zainfekowanymi szczurami a serwerami C2 hakerów (patrz schemat).

To jest diabelskie, a ja z żalem daję tym gościom (czarną) końcówkę kapelusza.,

jednym ze sposobów na utrudnienie tego rodzaju ataków jest po prostu wyłączenie funkcji UPnP lub przekierowania portów na naszych routerach domowych. Pewnie tego nie potrzebujesz!

przy okazji, można to zobaczyć tutaj dla mojego domowego routera Linksys. Podczas rekonfiguracji poświęć trochę czasu, aby wymyślić lepsze hasło administratora.

zrób to teraz!

Security Stealth Wars: it Is Not Winning (With Perimeter Defenses)

Phishing, FUD malware, malware-free hacking with PowerShell, and now hidden C2 servers., Hakerzy zyskują przewagę po eksploatacji: ich działania są prawie niemożliwe do zablokowania lub wykrycia za pomocą tradycyjnych technik zabezpieczeń obwodowych i skanowania złośliwego oprogramowania.

Co robić?

pierwsza część jest naprawdę psychologiczna: trzeba być gotowym zaakceptować, że napastnicy dostaną się do środka. Zdaję sobie sprawę, że oznacza to przyznanie się do porażki, co może być bolesne dla informatyków i techników. Ale teraz jesteś uwolniony od konieczności obrony podejścia, które nie ma już sensu!,

Po przekroczeniu tej bariery mentalnej następuje kolejna część: potrzebujesz dodatkowej obrony do wykrywania włamań, która nie zależy od sygnatur złośliwego oprogramowania lub monitorowania sieci.

chyba wiesz do czego to zmierza. Oprogramowanie defensywne oparte na-poczekaj – User Behavior Analytics (UBA) może wykryć jedną część ataku, której nie można ukryć: wyszukiwanie III w systemie plików, dostęp do krytycznych folderów i plików oraz kopiowanie zawartości.

w efekcie zapewniasz hakerom niewielką część cyber pola bitwy, tylko po to, aby później ich pokonać.