UPnProxy指的是什么

這篇文章主要為大家展示了“UPnProxy指的是什么”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“UPnProxy指的是什么”這篇文章吧。

前言

目前，全球大約有350多萬臺(tái)設(shè)備部署了UPnP，其中大概有28萬臺(tái)設(shè)備存在安全問題。Akamai的研究人員表示，現(xiàn)在已經(jīng)有接近5萬臺(tái)設(shè)備受到了UpNp NAT注入攻擊活動(dòng)的入侵，而這種注入攻擊（針對(duì)的是SMB所使用的服務(wù)端口）會(huì)將目標(biāo)路由器連接的設(shè)備暴露在互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)之中。

背景

2018年，Akamai的研究人員發(fā)現(xiàn)有攻擊者開始通過濫用通用即插即用（UPnP）來隱藏惡意流量，并創(chuàng)建惡意代理系統(tǒng)了，這種技術(shù)我們將其命名為UPnProxy。在UPnProxy的幫助下，攻擊者可以隨意控制惡意流量，這絕對(duì)是一種嚴(yán)重的安全風(fēng)險(xiǎn)，因?yàn)檫@樣的安全漏洞可以應(yīng)用到多種攻擊技術(shù)中，包括垃圾郵件、網(wǎng)絡(luò)釣魚、點(diǎn)擊欺詐和DDoS等等。

就目前的數(shù)據(jù)來看，UPnProxy目前仍在活動(dòng)當(dāng)中，全球潛在的受感染設(shè)備數(shù)量達(dá)到了350萬臺(tái)，已確定的易受攻擊設(shè)備數(shù)量為28萬臺(tái)左右。雖然之前檢測(cè)到的某些攻擊活動(dòng)已經(jīng)消失了，但是我們又發(fā)現(xiàn)了其他新的攻擊活動(dòng)，所以受感染設(shè)備的數(shù)量一直在變化當(dāng)中。

在Akamai之前發(fā)布的報(bào)告中，我們強(qiáng)調(diào)了攻擊者利用UPnProxy來入侵目標(biāo)路由器連接設(shè)備的可能性。不幸的是，這件事情真的發(fā)生了。

對(duì)于家庭用戶來說，這種攻擊可以導(dǎo)致一系列問題，比如說網(wǎng)絡(luò)質(zhì)量下降、惡意軟件感染、勒索軟件攻擊和網(wǎng)絡(luò)欺詐等等。但對(duì)于商業(yè)用戶來說，這種安全威脅可以將那些本不應(yīng)該暴露在互聯(lián)網(wǎng)上的系統(tǒng)暴露在外，而且還是在管理員毫無意識(shí)的情況下發(fā)生的，這樣就大大增加了企業(yè)系統(tǒng)的攻擊面。更令人擔(dān)憂的是，這種攻擊主要針對(duì)的是Windows平臺(tái)和Linux平臺(tái)，而這兩個(gè)平臺(tái)是目前受木馬蠕蟲和勒索軟件攻擊最多的系統(tǒng)平臺(tái)。

“永恒的沉默”

在11月7日，研究人員又發(fā)現(xiàn)了一種屬于UPnProxy家族的新型攻擊活動(dòng)，我們將其命名為Eternal Silence，即“永恒的沉默”，而這個(gè)名字是從攻擊者留下的端口映射描述中得來的。

在路由器上，路由器上的NewPortMappingDescription域一般是類似“Skype”這樣的值，表示允許合法注入。在UPnProxy活動(dòng)中，這個(gè)域可以被攻擊者控制。在Akamai最新檢測(cè)到的受攻擊路由器中，這個(gè)域的值全部為西班牙文“galleta silenciosa”或“silent cookie/cracker”。這種注入攻擊會(huì)將目標(biāo)路由器連接設(shè)備的TCP端口139和445暴露在外：

{"NewProtocol":"TCP", "NewInternalPort": "445","NewInternalClient": "192.168.10.212","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort": "47669"}

綜合所有分析結(jié)果考量，Akamai的研究人員認(rèn)為攻擊者很可能在利用EternalBlue和EternalRed漏洞在入侵其他設(shè)備。不幸的是，Akamai的研究人員無法得知注入攻擊成功之后還會(huì)發(fā)生什么，因?yàn)槟壳拔覀冎荒苡^察到注入攻擊的過程，而無法檢測(cè)到最后完成直接攻擊的Payload。研究人員認(rèn)為，攻擊成功之后網(wǎng)絡(luò)犯罪分子能做的事情非常多，比如說實(shí)施勒索軟件攻擊，或在目標(biāo)網(wǎng)絡(luò)系統(tǒng)中植入后門并實(shí)現(xiàn)持續(xù)感染。

攻擊分析

EternalBlue（CVE-2017-0144）：永恒之藍(lán)，這已經(jīng)是一個(gè)很有名的漏洞了，這個(gè)漏洞可以算是斯諾登當(dāng)年從NSA那里“偷”來的。這個(gè)漏洞可以影響每一個(gè)Windows版本，即使你安裝了補(bǔ)丁（MS17-010），近期也有網(wǎng)絡(luò)犯罪分子仍在利用這個(gè)漏洞來發(fā)動(dòng)網(wǎng)絡(luò)攻擊，比如說WannaCry和    NotPetya。

EternalRed（CVE-2017-7494）：永恒之紅，永恒之藍(lán)的兄弟，它的目標(biāo)是Samba，并開啟了Eternal家族“進(jìn)軍”Linux系統(tǒng)的大門。它已經(jīng)被用于多種惡意挖礦活動(dòng)之中了，并且逐漸發(fā)展出了SambaCry。

我們發(fā)現(xiàn)，這一攻擊活動(dòng)其實(shí)并非具有針對(duì)性的攻擊，而是利用現(xiàn)成的、經(jīng)過現(xiàn)實(shí)考驗(yàn)過的真實(shí)開發(fā)成果來進(jìn)行的大規(guī)模攻擊，并通過“廣撒網(wǎng)”的形式來填充網(wǎng)絡(luò)犯罪分子的“目標(biāo)設(shè)備池”。這種方式也很正常，因?yàn)楹芏鄾]有接入外網(wǎng)的企業(yè)設(shè)備很可能沒有安裝針對(duì)永恒之藍(lán)或永恒之紅的補(bǔ)丁，但通過SMB端口轉(zhuǎn)發(fā)技術(shù)，攻擊者將能夠入侵路由器背后的其他接入設(shè)備，此時(shí)那些沒有安裝補(bǔ)丁的設(shè)備將無一幸免。

下面給出的是我們?cè)谄渲幸慌_(tái)受感染路由器中發(fā)現(xiàn)的Eternal Silence注入樣本：

{"NewProtocol":"TCP", "NewInternalPort": "445","NewInternalClient": "192.168.10.165","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"47622"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.166","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28823"},{"NewProtocol":"TCP", "NewInternalPort": "445","NewInternalClient": "192.168.10.166","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"47623"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.183","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28840"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.194", "NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28851"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.198","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28855"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.207", "NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28864"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.209","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28866"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.212","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28869"},{"NewProtocol":"TCP", "NewInternalPort": "445","NewInternalClient": "192.168.10.212","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort": "47669"}

缺乏可見度

一般來說，管理員很難在路由器上檢測(cè)到惡意NAT注入行為。UPnP協(xié)議本身是用來讓設(shè)備自動(dòng)通過路由器的IGD來請(qǐng)求NAT/端口轉(zhuǎn)發(fā)功能。在這種情況下，審計(jì)這些規(guī)則需要使用到UPnP工具集、設(shè)備掃描和手動(dòng)規(guī)則審計(jì)。

下面這個(gè)Bash腳本可以導(dǎo)出UPnP NAT實(shí)體：

#!/usr/bin/bashurl=$1 soap_head='<?xml version="1.0"encoding="utf-8"?><s:Envelopes:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"> <s:Body><u:GetGenericPortMappingEntryxmlns:u="urn:upnp-org:serviceId:WANIPConnection.1#GetGenericPortMappingEntry"><NewPortMappingIndex>'soap_tail='</NewPortMappingIndex></u:GetGenericPortMappingEntry></s:Body></s:Envelope>' for iin `seq 1 10000`; do    payload=$soap_head$i$soap_tail    curl -H 'Content-Type:"text/xml;charset=UTF-8"' -H 'SOAPACTION:"urn:schemas-upnp-org:service:WANIPConnection:1#GetGenericPortMappingEntry"'--data "$payload" "$url" echo ""done

下面是我們從一臺(tái)受UPnProxy注入攻擊的主機(jī)中導(dǎo)出的數(shù)據(jù)：

$./brute_upnproxy.sh http://192.168.1.1:2048/etc/linuxigd/gatedesc.xml<?xmlversion="1.0"?><s:Envelopexmlns:s="http://schemas.xmlsoap.org/soap/envelope/"s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:GetGenericPortMappingEntryResponsexmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>50694</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>53</NewInternalPort><NewInternalClient>8.8.8.8</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>node:nat:upnp</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:GetGenericPortMappingEntryResponse></s:Body></s:Envelope> <?xmlversion="1.0"?><s:Envelopexmlns:s="http://schemas.xmlsoap.org/soap/envelope/"s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:GetGenericPortMappingEntryResponsexmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>30932</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>53</NewInternalPort><NewInternalClient>8.8.8.8</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>node:nat:upnp</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:GetGenericPortMappingEntryResponse></s:Body></s:Envelope>...snip...

以上是“UPnProxy指的是什么”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！