amintiți – vă primul atac Mirai pe scară largă la sfârșitul anului trecut? Acesta a fost cel îndreptat către camerele IP și a profitat de setările configurațiilor routerului pe care mulți consumatori nu le deranjează niciodată să le schimbe. Principalul vinovat, deși, a fost Universal Plug and Play sau UPnP, care este activat ca o setare implicită pe zillions de routere din întreaga lume.
ce este UPnP?
dacă ați conectat vreodată o tastatură USB la un laptop, ați trăit „experiența plug and play”, dar lucrurile nu sunt adesea atât de simple cu dispozitivele în rețea., Cum poate o nouă imprimantă, cameră foto, oală de cafea sau jucărie să se atașeze la rețea și apoi să configureze routerul pentru a permite accesul la port?
Doresc să învețe ransomware de bază și de a câștiga un credit CPE? Încercați cursul nostru gratuit.
UPnP: pericolul
cu toate acestea, acest factor de comoditate oferă o deschidere pentru hackeri., În cazul Mirai, le-a permis să scaneze aceste porturi și apoi să intre în dispozitiv la celălalt capăt.
hackerii au găsit acum o utilizare și mai diabolică a UPnP cu troianul bancar Pinkslipbot, cunoscut și sub numele de QakBot sau QBot.începând cu anul 2000, QakBot infectează calculatoarele, instalează un logger de chei și apoi trimite acreditările bancare către serverele de comandă și Control de la distanță (C2).
amintiți-vă C2?,
când am scris prima noastră serie despre testarea stiloului, am descris modul în care troienii de acces la distanță (șobolanii) care locuiesc pe computerele victimelor sunt trimise comenzi de la distanță de la serverele hackerilor printr-o conexiune HTTP sau HTTPS.aceasta este o abordare ascunsă în post-exploatare, deoarece face foarte dificilă identificarea anomaliilor pentru securitatea IT., La urma urmei, pentru un admin sau tehnician uitam la rețea ar părea că utilizatorul este navigarea pe web — chiar dacă ȘOBOLANUL este primirea încorporat comenzi pentru a vă conecta intrarile de la tastatura sau de căutare pentru PII, și extrage parolele, numere de card de credit, etc. apărarea corectă împotriva acestui lucru este de a bloca domeniile ascunzătorilor C2 cunoscute. Desigur, devine un joc de pisică și mouse cu hackerii, deoarece găsesc noi pete întunecate pe Web pentru a-și configura serverele, deoarece cele vechi sunt filtrate de echipele de securitate corporativă.,și asta în cazul în care Pinkslipbot a adăugat o inovație semnificativă. Acesta a introdus, pentru lipsa unui termen mai bun, middle-malware, care infectează computerele, dar nu pentru a lua acreditările utilizatorului! În schimb, malware-ul mijlociu instalează un server proxy C2 care transmite HTTPS pe serverele C2 reale.
infrastructura Pinkslipbot nu are un domeniu fix pentru serverele lor C2. De fapt, întregul Web este terenul lor de joc!, Aceasta înseamnă că este aproape imposibil să se mențină o listă de domenii sau adrese cunoscute pentru a filtra.ce legătură are UPnP cu Pinkslipbot?când Pinkslipbot preia un laptop de consum, verifică dacă UPnP este activat. Dacă este, Pinkslipbot middle-malware emite o solicitare UPnP către router pentru a deschide un port public. Acest lucru permite Pinslipbot să acționeze apoi ca un releu între acele computere infectate cu șobolanii și serverele C2 ale hackerilor (vezi diagrama).
este diabolic și le dau begrudgingly acestor tipi un sfat de pălărie (negru).,
o modalitate pentru noi toți de a face aceste tipuri de atacuri mai dificil de a scoate este de a dezactiva pur și simplu funcția UPnP sau port-forwarding pe routerele noastre de acasă. Probabil că nu aveți nevoie de ea!apropo ,puteți vedea acest lucru făcut aici pentru propriul meu router Linksys acasă. Și în timp ce efectuați reconfigurarea, faceți timp pentru a veni cu o parolă de administrator mai bună.
faceți acest lucru acum!
securitate Stealth Wars: nu este câștigătoare (cu perimetru de apărare)
Phishing, FUD malware, hacking malware-free cu PowerShell, iar acum ascunse servere C2., Hackerii câștigă mâna superioară în post-exploatare: activitățile lor sunt aproape imposibil de blocat sau reperat cu tehnici tradiționale de securitate perimetrală și scanare malware.
ce să fac?prima parte este cu adevărat psihologică: trebuie să fii dispus să accepți că atacatorii vor intra. Îmi dau seama că înseamnă recunoașterea înfrângerii, ceea ce poate fi dureros pentru IT și pentru oamenii din tehnologie. Dar acum ești eliberat de a trebui să apere o abordare care nu mai are sens!,după ce ați trecut peste această barieră mentală, următoarea parte urmează: aveți nevoie de o apărare secundară pentru detectarea hacking-ului care nu se bazează pe semnăturile malware sau pe monitorizarea rețelei.
cred că știți unde se întâmplă acest lucru. Software defensiv bazat pe-așteptați – l-User Behavior Analytics (UBA) poate detecta o parte a atacului care nu poate fi ascunsă: căutarea PII în sistemul de fișiere, accesarea folderelor și fișierelor critice și copierea conținutului.de fapt, acordați hackerilor o mică parte din câmpul de luptă cibernetic, doar pentru a-i învinge mai târziu.
Lasă un răspuns