Suicide
30.11.2018, 19:41
https://media.kasperskycontenthub.com/wp-content/uploads/sites/32/2018/11/30065707/intrusion-680x400.jpg Исследователи из Akamai Technologies вновь наблюдают (https://blogs.akamai.com/sitr/2018/11/upnproxy-eternalsilence.html) атаки на плохо сконфигурированные роутеры с включенной службой UPnP. На сей раз атакующие модифицируют таблицы трансляции сетевых адресов (NAT), чтобы добраться до устройств во внутренних сетях. В ходе текущей кампании эксперты выявили несанкционированные NAT-инъекции на 45 113 роутерах, за которыми совокупно расположены 1,7 млн машин.
Такую же тактику злоумышленники использовали при построении ботнета UPnProxy (https://threatpost.ru/routers-with-upnp-exposed-to-internet-used-to-proxy-bad-traffic/25658/), который впоследствии использовался для проксирования трафика и маскировки источников вредоносной активности. Новую кампанию, первые признаки которой проявились 7 ноября, в Akamai нарекли Eternal Silence — и не без оснований.
Во-первых, внося изменения в NAT, атакующие оставляют в поле описания распределения портов словосочетание galleta silenciosa (исп. «тихий куки», то есть устанавливаемый без уведомления). Во-вторых, целью этих манипуляций является открытие TCP-портов 139 и 445 на устройствах в локальной сети, поэтому эксперты предположили, что далее авторы атаки пускают в ход эксплойт — EternalBlue (https://threatpost.ru/eternalblue-one-year-later-still-a-mighty-threat/26081/) или EternalRed. Последний ориентирован на Linux-системы и нацелен на уязвимость CVE-2017-7494 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-7494), получившую известность как SambaCry (https://threatpost.ru/sambacry-mining/21644/).
Выяснить, что на самом деле происходит после NAT-инъекции, исследователям не удалось, однако проникновение во внутреннюю сеть открывает широкое поле деятельности для злоумышленников. Они смогут распространять там вредоносное ПО — например, шифровальщиков (https://encyclopedia.kaspersky.ru/glossary/cryptomalware/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), или закрепиться для развития атаки.
По оценке Akamai, в настоящее время в группу риска входят 3,5 млн роутеров; 227 тыс. из них уязвимы для атак UPnProxy. Индивидуальным пользователям подобные атаки могут преподнести неприятные сюрпризы — снижение качества обслуживания, заражение, потерю важной информации или денег в результате мошенничества. Для организаций вторжение во внутреннюю сеть грозит прежде всего компрометацией скрытых за NAT систем, которые незаметно оказались в открытом доступе. К тому же такие объекты обычно получают патчи в последнюю очередь, что непрошеным гостям только на руку.
Обнаружить злонамеренную NAT-инъекцию, по словам экспертов, непросто; администратор для этого должен просканировать все оконечные устройства и вручную проверить записи в NAT-таблице. Чтобы ускорить процесс, можно воспользоваться специальным фреймворком (https://encyclopedia.kaspersky.ru/glossary/framework/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation) или библиотекой — такие инструменты есть на рынке, притом в разноязычных версиях.
Для профилактики или восстановления после атаки UPnProxy специалисты Akamai советуют установить новый, хорошо защищенный роутер. Можно, конечно, сэкономить на покупке и просто отключить уязвимую службу, однако это не откатит изменения в NAT, если злоумышленник успел их внести. Поэтому после отключения UPnP рекомендуется перезагрузить роутер или сбросить настройки до заводских и установить конфигурацию с полностью отключенным UPnP.
Нелишне также проверить наличие новых прошивок, в которых проблема UPnProxy уже решена. Поскольку в результате атаки системы в локальной сети могли оказаться скомпрометированными, целесообразно будет помониторить внутренний трафик на предмет аномалий, особенно в тех случаях, когда в сети присутствуют уязвимые Windows или Linux.
30.11.2018
https://threatpost.ru/eternalsilence-new-upnp-nat-injection-campaign/29480/
Такую же тактику злоумышленники использовали при построении ботнета UPnProxy (https://threatpost.ru/routers-with-upnp-exposed-to-internet-used-to-proxy-bad-traffic/25658/), который впоследствии использовался для проксирования трафика и маскировки источников вредоносной активности. Новую кампанию, первые признаки которой проявились 7 ноября, в Akamai нарекли Eternal Silence — и не без оснований.
Во-первых, внося изменения в NAT, атакующие оставляют в поле описания распределения портов словосочетание galleta silenciosa (исп. «тихий куки», то есть устанавливаемый без уведомления). Во-вторых, целью этих манипуляций является открытие TCP-портов 139 и 445 на устройствах в локальной сети, поэтому эксперты предположили, что далее авторы атаки пускают в ход эксплойт — EternalBlue (https://threatpost.ru/eternalblue-one-year-later-still-a-mighty-threat/26081/) или EternalRed. Последний ориентирован на Linux-системы и нацелен на уязвимость CVE-2017-7494 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2017-7494), получившую известность как SambaCry (https://threatpost.ru/sambacry-mining/21644/).
Выяснить, что на самом деле происходит после NAT-инъекции, исследователям не удалось, однако проникновение во внутреннюю сеть открывает широкое поле деятельности для злоумышленников. Они смогут распространять там вредоносное ПО — например, шифровальщиков (https://encyclopedia.kaspersky.ru/glossary/cryptomalware/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), или закрепиться для развития атаки.
По оценке Akamai, в настоящее время в группу риска входят 3,5 млн роутеров; 227 тыс. из них уязвимы для атак UPnProxy. Индивидуальным пользователям подобные атаки могут преподнести неприятные сюрпризы — снижение качества обслуживания, заражение, потерю важной информации или денег в результате мошенничества. Для организаций вторжение во внутреннюю сеть грозит прежде всего компрометацией скрытых за NAT систем, которые незаметно оказались в открытом доступе. К тому же такие объекты обычно получают патчи в последнюю очередь, что непрошеным гостям только на руку.
Обнаружить злонамеренную NAT-инъекцию, по словам экспертов, непросто; администратор для этого должен просканировать все оконечные устройства и вручную проверить записи в NAT-таблице. Чтобы ускорить процесс, можно воспользоваться специальным фреймворком (https://encyclopedia.kaspersky.ru/glossary/framework/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation) или библиотекой — такие инструменты есть на рынке, притом в разноязычных версиях.
Для профилактики или восстановления после атаки UPnProxy специалисты Akamai советуют установить новый, хорошо защищенный роутер. Можно, конечно, сэкономить на покупке и просто отключить уязвимую службу, однако это не откатит изменения в NAT, если злоумышленник успел их внести. Поэтому после отключения UPnP рекомендуется перезагрузить роутер или сбросить настройки до заводских и установить конфигурацию с полностью отключенным UPnP.
Нелишне также проверить наличие новых прошивок, в которых проблема UPnProxy уже решена. Поскольку в результате атаки системы в локальной сети могли оказаться скомпрометированными, целесообразно будет помониторить внутренний трафик на предмет аномалий, особенно в тех случаях, когда в сети присутствуют уязвимые Windows или Linux.
30.11.2018
https://threatpost.ru/eternalsilence-new-upnp-nat-injection-campaign/29480/