UPnProxy指的是什么

這篇文章主要為大家展示了“UPnProxy指的是什么”，內容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領大家一起研究并學習一下“UPnProxy指的是什么”這篇文章吧。

前言

目前，全球大約有350多萬臺設備部署了UPnP，其中大概有28萬臺設備存在安全問題。Akamai的研究人員表示，現在已經有接近5萬臺設備受到了UpNp NAT注入攻擊活動的入侵，而這種注入攻擊（針對的是SMB所使用的服務端口）會將目標路由器連接的設備暴露在互聯網安全風險之中。

背景

2018年，Akamai的研究人員發現有攻擊者開始通過濫用通用即插即用（UPnP）來隱藏惡意流量，并創建惡意代理系統了，這種技術我們將其命名為UPnProxy。在UPnProxy的幫助下，攻擊者可以隨意控制惡意流量，這絕對是一種嚴重的安全風險，因為這樣的安全漏洞可以應用到多種攻擊技術中，包括垃圾郵件、網絡釣魚、點擊欺詐和DDoS等等。

就目前的數據來看，UPnProxy目前仍在活動當中，全球潛在的受感染設備數量達到了350萬臺，已確定的易受攻擊設備數量為28萬臺左右。雖然之前檢測到的某些攻擊活動已經消失了，但是我們又發現了其他新的攻擊活動，所以受感染設備的數量一直在變化當中。

在Akamai之前發布的報告中，我們強調了攻擊者利用UPnProxy來入侵目標路由器連接設備的可能性。不幸的是，這件事情真的發生了。

對于家庭用戶來說，這種攻擊可以導致一系列問題，比如說網絡質量下降、惡意軟件感染、勒索軟件攻擊和網絡欺詐等等。但對于商業用戶來說，這種安全威脅可以將那些本不應該暴露在互聯網上的系統暴露在外，而且還是在管理員毫無意識的情況下發生的，這樣就大大增加了企業系統的攻擊面。更令人擔憂的是，這種攻擊主要針對的是Windows平臺和Linux平臺，而這兩個平臺是目前受木馬蠕蟲和勒索軟件攻擊最多的系統平臺。

“永恒的沉默”

在11月7日，研究人員又發現了一種屬于UPnProxy家族的新型攻擊活動，我們將其命名為Eternal Silence，即“永恒的沉默”，而這個名字是從攻擊者留下的端口映射描述中得來的。

在路由器上，路由器上的NewPortMappingDescription域一般是類似“Skype”這樣的值，表示允許合法注入。在UPnProxy活動中，這個域可以被攻擊者控制。在Akamai最新檢測到的受攻擊路由器中，這個域的值全部為西班牙文“galleta silenciosa”或“silent cookie/cracker”。這種注入攻擊會將目標路由器連接設備的TCP端口139和445暴露在外：

{"NewProtocol":"TCP", "NewInternalPort": "445","NewInternalClient": "192.168.10.212","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort": "47669"}

綜合所有分析結果考量，Akamai的研究人員認為攻擊者很可能在利用EternalBlue和EternalRed漏洞在入侵其他設備。不幸的是，Akamai的研究人員無法得知注入攻擊成功之后還會發生什么，因為目前我們只能觀察到注入攻擊的過程，而無法檢測到最后完成直接攻擊的Payload。研究人員認為，攻擊成功之后網絡犯罪分子能做的事情非常多，比如說實施勒索軟件攻擊，或在目標網絡系統中植入后門并實現持續感染。

攻擊分析

EternalBlue（CVE-2017-0144）：永恒之藍，這已經是一個很有名的漏洞了，這個漏洞可以算是斯諾登當年從NSA那里“偷”來的。這個漏洞可以影響每一個Windows版本，即使你安裝了補丁（MS17-010），近期也有網絡犯罪分子仍在利用這個漏洞來發動網絡攻擊，比如說WannaCry和    NotPetya。

EternalRed（CVE-2017-7494）：永恒之紅，永恒之藍的兄弟，它的目標是Samba，并開啟了Eternal家族“進軍”Linux系統的大門。它已經被用于多種惡意挖礦活動之中了，并且逐漸發展出了SambaCry。

我們發現，這一攻擊活動其實并非具有針對性的攻擊，而是利用現成的、經過現實考驗過的真實開發成果來進行的大規模攻擊，并通過“廣撒網”的形式來填充網絡犯罪分子的“目標設備池”。這種方式也很正常，因為很多沒有接入外網的企業設備很可能沒有安裝針對永恒之藍或永恒之紅的補丁，但通過SMB端口轉發技術，攻擊者將能夠入侵路由器背后的其他接入設備，此時那些沒有安裝補丁的設備將無一幸免。

下面給出的是我們在其中一臺受感染路由器中發現的Eternal Silence注入樣本：

{"NewProtocol":"TCP", "NewInternalPort": "445","NewInternalClient": "192.168.10.165","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"47622"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.166","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28823"},{"NewProtocol":"TCP", "NewInternalPort": "445","NewInternalClient": "192.168.10.166","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"47623"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.183","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28840"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.194", "NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28851"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.198","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28855"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.207", "NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28864"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.209","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28866"},{"NewProtocol":"TCP", "NewInternalPort": "139","NewInternalClient": "192.168.10.212","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort":"28869"},{"NewProtocol":"TCP", "NewInternalPort": "445","NewInternalClient": "192.168.10.212","NewPortMappingDescription":"galleta silenciosa", "NewExternalPort": "47669"}

缺乏可見度

一般來說，管理員很難在路由器上檢測到惡意NAT注入行為。UPnP協議本身是用來讓設備自動通過路由器的IGD來請求NAT/端口轉發功能。在這種情況下，審計這些規則需要使用到UPnP工具集、設備掃描和手動規則審計。

下面這個Bash腳本可以導出UPnP NAT實體：

#!/usr/bin/bashurl=$1 soap_head='<?xml version="1.0"encoding="utf-8"?><s:Envelopes:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"> <s:Body><u:GetGenericPortMappingEntryxmlns:u="urn:upnp-org:serviceId:WANIPConnection.1#GetGenericPortMappingEntry"><NewPortMappingIndex>'soap_tail='</NewPortMappingIndex></u:GetGenericPortMappingEntry></s:Body></s:Envelope>' for iin `seq 1 10000`; do    payload=$soap_head$i$soap_tail    curl -H 'Content-Type:"text/xml;charset=UTF-8"' -H 'SOAPACTION:"urn:schemas-upnp-org:service:WANIPConnection:1#GetGenericPortMappingEntry"'--data "$payload" "$url" echo ""done

下面是我們從一臺受UPnProxy注入攻擊的主機中導出的數據：

$./brute_upnproxy.sh http://192.168.1.1:2048/etc/linuxigd/gatedesc.xml<?xmlversion="1.0"?><s:Envelopexmlns:s="http://schemas.xmlsoap.org/soap/envelope/"s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:GetGenericPortMappingEntryResponsexmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>50694</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>53</NewInternalPort><NewInternalClient>8.8.8.8</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>node:nat:upnp</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:GetGenericPortMappingEntryResponse></s:Body></s:Envelope> <?xmlversion="1.0"?><s:Envelopexmlns:s="http://schemas.xmlsoap.org/soap/envelope/"s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body><u:GetGenericPortMappingEntryResponsexmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>30932</NewExternalPort><NewProtocol>TCP</NewProtocol><NewInternalPort>53</NewInternalPort><NewInternalClient>8.8.8.8</NewInternalClient><NewEnabled>1</NewEnabled><NewPortMappingDescription>node:nat:upnp</NewPortMappingDescription><NewLeaseDuration>0</NewLeaseDuration></u:GetGenericPortMappingEntryResponse></s:Body></s:Envelope>...snip...

以上是“UPnProxy指的是什么”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！