UPnP là gì? Bạn còn nhớ vụ tấn công Mirai quy mô lớn đầu tiên vào cuối năm ngoái không? Đó là hướng vào camera IP và tận dụng các cài đặt cấu hình bộ định tuyến mà nhiều người tiêu dùng không bao giờ bận tâm thay đổi. Tuy nhiên, thủ phạm chính là Universal Plug and Play hoặc UPnP, được kích hoạt như một cài đặt mặc định trên hàng trăm bộ định tuyến trên toàn thế giới.
UPnP là gì?
Nếu bạn đã từng cắm bàn phím USB vào máy tính xách tay, bạn đã từng trải nghiệm cắm cắm và chơi trải nghiệm trên mạng, nhưng mọi thứ thường không đơn giản với các thiết bị nối mạng. Làm thế nào để một máy in, máy ảnh, bình cà phê hoặc đồ chơi mới biết cách gắn vào mạng của bạn và sau đó định cấu hình bộ định tuyến của bạn để cho phép truy cập cổng?
UPnP là một cách thuận tiện để cho phép các tiện ích tìm thấy các thiết bị khác trên mạng của bạn và nếu cần, hãy sửa đổi bộ định tuyến của bạn để cho phép truy cập thiết bị từ bên ngoài mạng của bạn. Thông qua Giao thức thiết bị cổng Internet, máy khách UPnP có thể lấy địa chỉ IP bên ngoài cho mạng của bạn và thêm ánh xạ chuyển tiếp cổng mới như một phần của quy trình thiết lập.
Xem Thêm: Cách tăng tốc Internet trên máy tính
Điều này cực kỳ thuận tiện từ góc độ người tiêu dùng vì nó làm giảm đáng kể sự phức tạp của việc thiết lập các thiết bị mới. Thật không may, với sự thuận tiện này đã xuất hiện nhiều lỗ hổng và các cuộc tấn công quy mô lớn đã khai thác UPnP.
UPnP: Nguy hiểm
Tuy nhiên, yếu tố tiện lợi này cung cấp một mở cho tin tặc. Trong trường hợp của Mirai, nó cho phép họ quét các cổng này và sau đó hack vào thiết bị ở đầu kia.
Các tin tặc hiện đã tìm thấy việc sử dụng UPnP thậm chí còn nguy hiểm hơn với trojan ngân hàng Pinkslipbot , còn được gọi là QakBot hoặc QBot.
Khoảng năm 2000, QakBot lây nhiễm máy tính, cài đặt bộ ghi khóa và sau đó gửi thông tin ngân hàng đến các máy chủ Chỉ huy và Điều khiển (C2) từ xa.
Ghi nhớ C2?
Khi chúng tôi viết loạt bài đầu tiên về thử nghiệm bút, chúng tôi đã mô tả cách các trojan truy cập từ xa (RAT) cư trú trên máy tính của nạn nhân được gửi lệnh từ xa từ máy chủ của tin tặc qua kết nối HTTP hoặc HTTPS.
Đây là một cách tiếp cận lén lút trong hậu khai thác vì nó khiến cho an ninh CNTT rất khó phát hiện ra bất kỳ sự bất thường nào. Rốt cuộc, đối với một quản trị viên hoặc kỹ thuật viên đang xem mạng, có vẻ như người dùng đang duyệt web – mặc dù RAT đang nhận các lệnh nhúng để ghi lại các lần nhấn phím hoặc tìm kiếm PII, và xóa mật khẩu, số thẻ tín dụng, v.v. Cs.
Bảo vệ đúng đắn chống lại điều này là chặn các miền của nơi ẩn náu C2 đã biết. Tất nhiên, nó trở thành một trò chơi mèo vờn chuột với các tin tặc khi chúng tìm thấy những điểm tối mới trên Web để thiết lập máy chủ của chúng khi những cái cũ được các nhóm bảo mật của công ty lọc ra.
Và đó là nơi Pinkslipbot đã thêm một sự đổi mới đáng kể. Nó đã giới thiệu, vì thiếu một thuật ngữ tốt hơn, phần mềm độc hại trung bình, lây nhiễm vào máy tính, nhưng không lấy thông tin người dùng! Thay vào đó, phần mềm độc hại trung bình cài đặt máy chủ C2 proxy chuyển tiếp HTTPS sang máy chủ C2 thực.
Do đó, cơ sở hạ tầng Pinkslipbot không có miền cố định cho máy chủ C2 của họ. Trong thực tế, toàn bộ Web là sân chơi của họ! Điều đó có nghĩa là hầu như không thể duy trì một danh sách các tên miền hoặc địa chỉ đã biết để lọc ra.
UPnP phải làm gì với Pinkslipbot?
Khi Pinkslipbot tiếp quản một máy tính xách tay tiêu dùng, nó sẽ kiểm tra xem UPnP có được bật hay không. Nếu đúng như vậy, phần mềm độc hại trung bình Pinkslipbot đưa ra yêu cầu UPnP cho bộ định tuyến để mở cổng công khai. Điều này cho phép Pinslipbot hoạt động như một rơle giữa các máy tính bị nhiễm RAT và máy chủ C2 của tin tặc (xem sơ đồ).
Thật là quái đản, và tôi bực bội đưa cho những người này một chiếc mũ (màu đen).
Một cách để tất cả chúng ta làm cho các loại tấn công này trở nên khó khăn hơn là chỉ cần vô hiệu hóa tính năng UPnP hoặc chuyển tiếp cổng trên các bộ định tuyến gia đình của chúng ta. Bạn có thể không cần nó!
Nhân tiện, bạn có thể thấy điều này được thực hiện ở đây cho bộ định tuyến Linksys. Và trong khi bạn đang thực hiện cấu hình lại, hãy dành thời gian để đưa ra mật khẩu quản trị viên tốt hơn.
Chiến tranh bảo mật: CNTT không chiến thắng (với phòng thủ vành đai)
Lừa đảo , phần mềm độc hại FUD , hack phần mềm độc hại với PowerShell và hiện đang ẩn các máy chủ C2. Các tin tặc đang chiếm thế thượng phong trong việc khai thác sau: các hoạt động của chúng gần như không thể chặn hoặc phát hiện bằng các kỹ thuật bảo mật chu vi truyền thống và quét phần mềm độc hại.
Phải làm sao
Phần đầu tiên thực sự là tâm lý: bạn phải sẵn sàng chấp nhận rằng những kẻ tấn công sẽ xâm nhập. Tôi nhận ra rằng điều đó có nghĩa là thừa nhận thất bại, điều có thể gây đau khổ cho dân IT và công nghệ. Nhưng bây giờ bạn đã được giải phóng khỏi việc phải bảo vệ một cách tiếp cận không còn ý nghĩa!
Khi bạn đã vượt qua rào cản tinh thần này, phần tiếp theo sẽ diễn ra: bạn cần một biện pháp bảo vệ thứ cấp để phát hiện hack không phụ thuộc vào chữ ký phần mềm độc hại hoặc giám sát mạng.
Tôi nghĩ bạn biết nơi này sẽ đi. Phần mềm phòng thủ dựa trên – chờ đợi – Phân tích hành vi người dùng (UBA) có thể phát hiện ra một phần của cuộc tấn công không thể ẩn : tìm kiếm PII trong hệ thống tệp, truy cập các thư mục và tệp quan trọng và sao chép nội dung.
Trên thực tế, bạn cấp cho các tin tặc một phần nhỏ của chiến trường mạng, chỉ để đánh bại chúng sau này.
Bài viết Trên Aviosen đã tổng quát UPnP là gì và tại sao nó nguy hiểm ?. Hãy theo dõi trang để cập nhật những thông tin mới về công nghệ nhé !!!
