Kom ihåg den första storskaliga Mirai-attacken i slutet av förra året? Det var den som riktade sig till IP-kameror och utnyttjade routerkonfigurationsinställningar som många konsumenter aldrig stör att ändra. Den största boven var dock Universal Plug and Play eller UPnP, som är aktiverad som standardinställning på zillions av routrar över hela världen.

Vad är UPnP?

om du någonsin har anslutit ett USB-tangentbord till en bärbar dator har du levt ”plug and play experience”, men det är ofta inte så enkelt med nätverksanslutna enheter., Hur vet en ny skrivare, kamera, kaffekanna eller leksak hur man bifogar nätverket och konfigurerar sedan routern för att möjliggöra portåtkomst?

vill du lära dig grunderna i ransomware och tjäna en CPE-Kredit? Prova vår fria kurs.

”på bara en timme lär jag dig grunderna i Ransomware och vad du kan göra för att skydda och förbereda dig för det.”

UPnP är ett bekvämt sätt att tillåta gadgets att hitta andra enheter i ditt nätverk och vid behov ändra din router för att möjliggöra enhetsåtkomst från utanför ditt nätverk., Via Internet Gateway Device Protokoll, en UPnP-klient kan få den externa IP-adress för nätverket och lägga till nya port forwarding mappningar som en del av installationsprocessen.

detta är extremt bekvämt ur ett konsumentperspektiv eftersom det kraftigt minskar komplexiteten att skapa nya enheter. Tyvärr, med denna bekvämlighet har kommit flera sårbarheter och storskaliga attacker som har utnyttjat UPnP.

UPnP: faran

men, denna bekvämlighet faktor ger en öppning för hackare., När det gäller Mirai, det tillät dem att söka efter dessa portar, och sedan hacka in i enheten i den andra änden.

Hackare har nu hittat en ännu mer djävulskt använda UPnP med bank trojan Pinkslipbot, även känd som QakBot eller QBot.

runt sedan 2000 infekterar QakBot datorer, installerar en nyckellogger och skickar sedan bankuppgifter till fjärrkommandon och kontrollservrar (C2).

Kom ihåg C2?,

När vi skrev vår första serie om penntestning beskrev vi hur fjärråtkomsttrojaner (råttor) som är bosatta på offrens datorer skickas kommandon på distans från hackarnas servrar över en HTTP-eller HTTPS-anslutning.

detta är en smygande strategi i efter exploatering eftersom det gör det mycket svårt för IT-säkerhet att upptäcka eventuella avvikelser., När allt kommer omkring, till en administratör eller tekniker tittar på nätverket skulle det bara visas att användaren är surfning-även om råttan tar emot inbäddade kommandon för att logga tangenttryckningar eller söka efter PII, och exfiltrating lösenord, kreditkortsnummer, etc. till C2S.

det rätta försvaret mot detta är att blockera domänerna för kända C2-gömställen. Naturligtvis blir det en katt-och-mus spel med hackare som de hittar nya mörka fläckar på webben för att ställa in sina servrar som gamla filtreras ut av företagens säkerhetsteam.,

och det är där Pinkslipbot har lagt till en betydande innovation. Det har infört, i brist på en bättre term, medel malware, som infekterar datorer, men inte att ta användaruppgifter! Istället installerar den mellersta malware en proxy C2-server som vidarebefordrar HTTPS till de riktiga C2-servrarna.

mitt malware: C2 servrar kan vara var som helst!

Pinkslipbot-infrastrukturen har därför ingen fast domän för sina C2-servrar. I själva verket är hela webben deras spelplan!, Det betyder att det är nästan omöjligt att behålla en lista över kända domäner eller adresser för att filtrera bort.

vad har UPnP att göra med Pinkslipbot?

När Pinkslipbot tar över en bärbar dator kontrollerar den om UPnP är aktiverat. Om det är, utfärdar Pinkslipbot middle-malware en UPnP-förfrågan till routern för att öppna en offentlig port. Detta gör det möjligt för Pinslipbot att sedan fungera som ett relä mellan de datorer som är infekterade med råttorna och hackarnas C2-servrar (se diagrammet).

det är djävulskt, och jag ger begrudgingly dessa killar en (svart) hattips.,

ett sätt för oss alla att göra dessa typer av attacker svårare att dra bort är att helt enkelt inaktivera UPnP eller port-forwarding funktionen på våra hem routrar. Du behöver det nog inte!

förresten, du kan se detta gjort här för min egen hem Linksys router. Och medan du utför omkonfigurationen, ta dig tid att komma med ett bättre administratörslösenord.

gör det nu!

säkerhet Stealth Wars: Det är inte att vinna (med omkrets försvar)

Phishing, FUD malware, malware-fri hacka med PowerShell, och nu dolda C2 servrar., Hackare vinner övertaget i efter exploatering: deras verksamhet är nästan omöjligt att blockera eller upptäcka med traditionella omkrets säkerhetstekniker och malware skanning.

vad ska man göra?

den första delen är verkligen psykologisk: du måste vara villig att acceptera att angriparna kommer in. Jag inser att det innebär att erkänna nederlag, vilket kan vara smärtsamt för det och tekniska människor. Men nu är du befriad från att behöva försvara ett tillvägagångssätt som inte längre är meningsfullt!,

När du har passerat över denna mentala barriär följer nästa del: du behöver ett sekundärt försvar för att upptäcka hacking som inte är beroende av malware signaturer eller nätverksövervakning.

Jag tror att du vet vart det här går. Defensiv programvara som bygger på-vänta på IT-User Behavior Analytics (UBA) kan upptäcka den ena delen av attacken som inte kan döljas: söka efter PII i filsystemet, komma åt kritiska mappar och filer och kopiera innehållet.

i själva verket ger du hackare en liten del av cyber slagfältet, bara för att besegra dem senare.