Vous vous souvenez de la première attaque à grande échelle de Mirai à la fin de l’année dernière? C’était celui dirigé vers les caméras IP et a profité des paramètres de configuration du routeur que de nombreux consommateurs ne prennent jamais la peine de changer. Le principal coupable, cependant, était Universal Plug And Play ou UPnP, qui est activé comme paramètre par défaut sur des millions de routeurs dans le monde entier.

Qu’est-ce que L’UPnP?

Si vous avez déjà branché un clavier USB à un ordinateur portable, vous avez vécu « l’expérience plug and play”, mais les choses ne sont souvent pas si simples avec les appareils en réseau., Comment une nouvelle imprimante, un appareil photo, une cafetière ou un jouet peut-il se connecter à votre réseau, puis configurer votre routeur pour permettre l’accès au port?

vous voulez apprendre les bases des ransomwares et gagner un crédit CPE? Essayez notre cours gratuit.

« en seulement une heure, je vais vous apprendre les principes fondamentaux des ransomwares et ce que vous pouvez faire pour vous protéger et vous y préparer.”

UPnP est un moyen pratique de gadgets permettant de trouver d’autres périphériques sur votre réseau et, si nécessaire, modifier votre routeur pour permettre l’accès au dispositif de l’extérieur de votre réseau., Via Internet Gateway Device Protocol, un client UPnP peut obtenir l’adresse IP externe de votre réseau et ajouter de nouveaux mappages de redirection de port dans le cadre de son processus de configuration.

ceci est extrêmement pratique du point de vue du consommateur car il diminue considérablement la complexité de la configuration de nouveaux appareils. Malheureusement, avec cette commodité sont venus de multiples vulnérabilités et des attaques à grande échelle qui ont exploité UPnP.

UPnP: le Danger

cependant, ce facteur de commodité offre une ouverture pour les pirates., Dans le cas de Mirai, cela leur a permis de rechercher ces ports, puis de pirater l’appareil à l’autre extrémité.

Les pirates ont maintenant trouvé une utilisation encore plus diabolique de L’UPnP avec le cheval de Troie bancaire Pinkslipbot, également connu sous le nom de QakBot ou QBot.

Depuis 2000, QakBot infecte les ordinateurs, installe un enregistreur de clés, puis envoie les informations d’identification bancaires aux serveurs de commande et de contrôle à distance (C2).

Souvenez-vous de C2?,

lorsque nous avons écrit notre première série sur les tests de stylo, nous avons décrit comment les chevaux de Troie d’accès à distance (RATs) résidant sur les ordinateurs des victimes sont envoyés des commandes à distance depuis les serveurs des pirates via une connexion HTTP ou HTTPS.

il s’agit d’une approche furtive en post-exploitation, car il est très difficile pour la sécurité informatique de détecter toute anomalie., Après tout, pour un administrateur ou un technicien qui regarde le réseau, il semblerait simplement que l’utilisateur navigue sur le web — même si le RAT reçoit des commandes intégrées pour enregistrer les frappes au clavier ou rechercher des PII, et exfiltrer les mots de passe, les numéros de carte de crédit, etc. pour le C2s.

la bonne défense contre cela est de bloquer les domaines des cachettes C2 connues. Bien sûr, cela devient un jeu du chat et de la souris avec les pirates car ils trouvent de nouvelles taches sombres sur le Web pour configurer leurs serveurs car les anciens sont filtrés par les équipes de sécurité de l’entreprise.,

et C’est là que Pinkslipbot a ajouté une innovation significative. Il a introduit, faute d’un meilleur terme, moyen-malware, qui infecte les ordinateurs, mais ne pas prendre les informations d’identification de l’utilisateur! Au lieu de cela, le logiciel malveillant central installe un serveur proxy C2 qui relaie HTTPS aux vrais serveurs C2.

Moyen-malware: C2 serveurs peuvent être n’importe où!

L’infrastructure Pinkslipbot n’a donc pas de domaine fixe pour ses serveurs C2. En effet, tout le Web est leur terrain de jeu!, Cela signifie qu’il est presque impossible de maintenir une liste de domaines ou d’adresses connus à filtrer.

Qu’est-ce que UPnP a à voir avec Pinkslipbot?

lorsque le Pinkslipbot prend en charge un ordinateur portable grand public, il vérifie si UPnP est activé. Si c’est le cas, le logiciel malveillant Intermédiaire Pinkslipbot émet une demande UPnP au routeur pour ouvrir un port public. Cela permet à Pinslipbot d’agir ensuite comme un relais entre les ordinateurs infectés par les RATs et les serveurs C2 des pirates (voir le diagramme).

c’est diabolique, et je donne à contrecœur à ces gars un pourboire de chapeau (noir).,

Une façon pour nous tous de rendre ces types d’attaques plus difficiles à retirer est de simplement désactiver la fonction UPnP ou port-forwarding sur nos routeurs domestiques. Vous n’avez probablement pas besoin!

en passant, vous pouvez voir cela fait ici pour mon propre routeur Linksys maison. Et pendant que vous effectuez la reconfiguration, prenez le temps de trouver un meilleur mot de passe administrateur.

Faites-le maintenant!

guerres furtives de sécurité: il ne gagne pas (avec des défenses de périmètre)

Phishing, malware FUD, piratage sans malware avec PowerShell, et maintenant des serveurs C2 cachés., Les pirates prennent le dessus dans la post-exploitation: leurs activités sont presque impossibles à bloquer ou à repérer avec les techniques traditionnelles de sécurité périmétrique et l’analyse des logiciels malveillants.

Que faire?

la première partie est vraiment psychologique: il faut être prêt à accepter que les attaquants entrent. Je me rends compte que cela signifie admettre la défaite, ce qui peut être douloureux pour les informaticiens et les techniciens. Mais maintenant, vous êtes libéré d’avoir à défendre une approche qui n’a plus de sens!,

Une fois que vous avez dépassé cette barrière mentale, la partie suivante suit: vous avez besoin d’une défense secondaire pour détecter le piratage qui ne dépend pas des signatures de logiciels malveillants ou de la surveillance du réseau.

je pense que vous savez où cela va. Un logiciel défensif basé sur — wait for it-User Behavior Analytics (UBA) peut repérer la partie de l’attaque qui ne peut pas être masquée: la recherche de PII dans le système de fichiers, l’accès aux dossiers et fichiers critiques et la copie du contenu.

en effet, vous accordez aux pirates une petite partie du champ de bataille cyber, pour les vaincre plus tard.