• SEO文章推广! 合作联系qq:122325244 正式全面改版 !免费SEO地址:https://www.seozhan.cn/tool 站长QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏SEO站长博客吧

UPnProxy:一种利用路由器UPnP漏洞的恶意代理系统

脚本编程 SEO站长博客 2个月前 (08-01) 31次浏览 未收录 0个评论

摘要

前言

目前,全球大约有 350 多万台设备部署了 UPnP,其中大概有 28 万台设备存在安全问题。Akamai 的研究人员表示,现在已经有接近 5 万台设备受到了 UpNp NAT 注入攻击活动的入侵,而这种注入攻击(针对的是 SMB 所使用的服务端口)会将目标路由器连接的设备暴露在互联网安全风险之中。

   背景

今年年初,Akamai 的研究人员发现有攻击者开始通过滥用通用即插即用(UPnP)来隐藏恶意流量,并创建恶意代理系统了,这种技术我们将其命名为 UPnProxy。在 UPnProxy 的帮助下,攻击者可以随意控制恶意流量,这绝对是一种严重的安全风险,因为这样的安全漏洞可以应用到多种攻击技术中,包括垃圾邮件、网络钓鱼、点击欺诈和 DDoS 等等。

就目前的数据来看,UPnProxy 目前仍在活动当中,全球潜在的受感染设备数量达到了 350 万台,已确定的易受攻击设备数量为 28 万台左右。虽然之前检测到的某些攻击活动已经消失了,但是我们又发现了其他新的攻击活动,所以受感染设备的数量一直在变化当中。

在 Akamai 之前发布的报告中,我们强调了攻击者利用 UPnProxy 来入侵目标路由器连接设备的可能性。不幸的是,这件事情真的发生了。

对于家庭用户来说,这种攻击可以导致一系列问题,比如说网络质量下降、恶意软件感染、勒索软件攻击和网络欺诈等等。但对于商业用户来说,这种安全威胁可以将那些本不应该暴露在互联网上的系统暴露在外,而且还是在管理员毫无意识的情况下发生的,这样就大大增加了企业系统的攻击面。更令人担忧的是,这种攻击主要针对的是 Windows 平台和 Linux 平台,而这两个平台是目前受木马蠕虫和勒索软件攻击最多的系统平台。

   “永恒的沉默”

在 11 月 7 日,研究人员又发现了一种属于 UPnProxy 家族的新型攻击活动,我们将其命名为 Eternal Silence,即“永恒的沉默”,而这个名字是从攻击者留下的端口映射描述中得来的。

在路由器上,路由器上的 NewPortMappingDescription 域一般是类似“Skype”这样的值,表示允许合法注入。在 UPnProxy 活动中,这个域可以被攻击者控制。在 Akamai 最新检测到的受攻击路由器中,这个域的值全部为西班牙文“galleta silenciosa”或“silent cookie/cracker”。这种注入攻击会将目标路由器连接设备的 TCP 端口 139 和 445 暴露在外:

{NewProtocol:TCP, NewInternalPort: 445,NewInternalClient: 192.168.10.212,

NewPortMappingDescription:galleta silenciosa, NewExternalPort: 47669}

综合所有分析结果考量,Akamai 的研究人员认为攻击者很可能在利用 EternalBlue 和 EternalRed 漏洞在入侵其他设备。不幸的是,Akamai 的研究人员无法得知注入攻击成功之后还会发生什么,因为目前我们只能观察到注入攻击的过程,而无法检测到最后完成直接攻击的 Payload。研究人员认为,攻击成功之后网络犯罪分子能做的事情非常多,比如说实施勒索软件攻击,或在目标网络系统中植入后门并实现持续感染。

   攻击分析

EternalBlue(CVE-2017-0144):永恒之蓝,这已经是一个很有名的漏洞了,这个漏洞可以算是斯诺登当年从 NSA 那里“偷”来的。这个漏洞可以影响每一个 Windows 版本,即使你安装了补丁(MS17-010),近期也有网络犯罪分子仍在利用这个漏洞来发动网络攻击,比如说 WannaCry 和 NotPetya。

EternalRed(CVE-2017-7494):永恒之红,永恒之蓝的兄弟,它的目标是 Samba,并开启了 Eternal 家族“进军”Linux 系统的大门。它已经被用于多种恶意挖矿活动之中了,并且逐渐发展出了 SambaCry。

我们发现,这一攻击活动其实并非具有针对性的攻击,而是利用现成的、经过现实考验过的真实开发成果来进行的大规模攻击,并通过“广撒网”的形式来填充网络犯罪分子的“目标设备池”。这种方式也很正常,因为很多没有接入外网的企业设备很可能没有安装针对永恒之蓝或永恒之红的补丁,但通过 SMB 端口转发技术,攻击者将能够入侵路由器背后的其他接入设备,此时那些没有安装补丁的设备将无一幸免。

下面给出的是我们在其中一台受感染路由器中发现的 Eternal Silence 注入样本:

{NewProtocol:TCP, NewInternalPort: 445,NewInternalClient: 192.168.10.165,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:47622},

{NewProtocol:TCP, NewInternalPort: 139,NewInternalClient: 192.168.10.166,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:28823},

{NewProtocol:TCP, NewInternalPort: 445,NewInternalClient: 192.168.10.166,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:47623},

{NewProtocol:TCP, NewInternalPort: 139,NewInternalClient: 192.168.10.183,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:28840},

{NewProtocol:TCP, NewInternalPort: 139,NewInternalClient: 192.168.10.194,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:28851},

{NewProtocol:TCP, NewInternalPort: 139,NewInternalClient: 192.168.10.198,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:28855},

{NewProtocol:TCP, NewInternalPort: 139,NewInternalClient: 192.168.10.207,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:28864},

{NewProtocol:TCP, NewInternalPort: 139,NewInternalClient: 192.168.10.209,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:28866},

{NewProtocol:TCP, NewInternalPort: 139,NewInternalClient: 192.168.10.212,

NewPortMappingDescription:galleta silenciosa, NewExternalPort:28869},

{NewProtocol:TCP, NewInternalPort: 445,NewInternalClient: 192.168.10.212,

NewPortMappingDescription:galleta silenciosa, NewExternalPort: 47669}

   缺乏可见度

一般来说,管理员很难在路由器上检测到恶意NAT 注入行为。UPnP 协议本身是用来让设备自动通过路由器的 IGD 来请求 NAT/端口转发功能。在这种情况下,审计这些规则需要使用到 UPnP 工具集、设备扫描和手动规则审计。

下面这个 Bash 脚本可以导出 UPnP NAT 实体:

#!/usr/bin/bashurl=$1 soap_head=<?xml version=1.0encoding=utf-8?>

<s:Envelopes:encodingStyle=http:///soap/encoding/xmlns:s=>

<s:Body>

<u:GetGenericPortMappingEntryxmlns:u=urn:upnp-org:serviceId:WANIPConnection.1#GetGenericPortMappingEntry>

<NewPortMappingIndex>

soap_tail=</NewPortMappingIndex></u:GetGenericPortMappingEntry></s:Body></s:Envelope>

for iin `seq 1 10000`; do

payload=$soap_head$i$soap_tail

curl -H Content-Type:text/xml;charset=UTF-8 -H SOAPACTION:

urn:schemas-upnp-org:service:WANIPConnection:1#GetGenericPortMappingEntry–data $payload $url echo

done

下面是我们从一台受 UPnProxy 注入攻击的主机中导出的数据:

$./brute_upnproxy.sh

<?xmlversion=1.0?>

<s:Envelopexmlns:s=http:///soap/envelope/s:encodingStyle=><s:Body>

<u:GetGenericPortMappingEntryResponsexmlns:u=urn:schemas-upnp-org:service:WANIPConnection:1>

<NewRemoteHost></NewRemoteHost><NewExternalPort>50694</NewExternalPort>

<NewProtocol>TCP</NewProtocol><NewInternalPort>53</NewInternalPort><NewInternalClient>8.8.8.8</NewInternalClient>

<NewEnabled>1</NewEnabled><NewPortMappingDescription>node:nat:upnp</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration>

</u:GetGenericPortMappingEntryResponse></s:Body></s:Envelope>

<?xmlversion=1.0?>

<s:Envelopexmlns:s=http:///soap/envelope/s:encodingStyle=><s:Body>

<u:GetGenericPortMappingEntryResponsexmlns:u=urn:schemas-upnp-org:service:WANIPConnection:1><NewRemoteHost></NewRemoteHost>

<NewExternalPort>30932</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>53</NewInternalPort>

<NewInternalClient>8.8.8.8</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>node:nat:upnp</NewPortMappingDescription>

<NewLeaseDuration>0</NewLeaseDuration></u:GetGenericPortMappingEntryResponse></s:Body></s:Envelope>

…snip…

   总结

毫无疑问,这些受攻击的设备将任由攻击者摆布。因为这些设备本不应该暴露在互联网上,而管理员也已经将这些设备进行了隔离,所以他们一般也不会去检查。此外,这些在内部网络系统中的设备很少会优先进行补丁安装或升级,因此它们的安全风险也会更高,而这种类型的攻击对这类设备的影响也会更大。 weinxin


SEO站长博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:UPnProxy:一种利用路由器UPnP漏洞的恶意代理系统
喜欢 (0)
[h4ck3st@126.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址