image

Malware verandert computers via UPnP in proxy-servers

zondag 18 juni 2017, 10:58 door Redactie, 8 reacties

Een bekende malwarefamilie die gegevens voor internetbankieren steelt blijkt machines via UPnP in proxy-servers te veranderen. Daarvoor waarschuwt securitybedrijf McAfee. Volgens de beveiliger is QakBot, zoals de malware wordt genoemd, de eerste malware die besmette machines als https-gebaseerde controleservers inzet. QakBot doet dit om de werkelijke locatie van de controleserver te verbergen.

QakBot is al geruime tijd actief en is ontwikkeld om gegevens voor internetbankieren en andere waardevolle data te stelen. De malware maakt echter ook gebruik van universal plug and play (UPnP) om poorten open te zetten, zodat inkomende verbindingen van iedereen op het internet worden toegestaan om met de besmette machine te communiceren. Beveiligingsexperts waarschuwen al geruime tijd voor de risico's van UPnP en vorig jaar adviseerde de FBI om het uit te schakelen.

Eenmaal actief op een machine zoekt QakBot naar UPnP-apparaten, zoals de internet gateway, om vervolgens 27 interne en externe poorten te forwarden. Zodoende kan het apparaat via internet worden benaderd. "Aangezien UPnP ervan uitgaat dat locale applicaties en apparaten zijn te vertrouwen, biedt het geen beveiliging en is het kwetsbaar voor misbruik door elk besmette machine op het netwerk", zegt analist Sanchit Karve.

Hij merkt op dat de geforwarde poorten te generiek zijn om automatisch te verwijderen. Daarnaast zal een virusscanner dergelijke aanpassingen niet ongedaan maken, aldus de analist. Zelfs als de malware is verwijderd is de machine nog steeds bereikbaar via de geforwarde poorten. McAfee raadt gebruikers dan ook aan om geforwarde poorten te monitoren en UPnP op de thuisrouter uit te schakelen. Het securitybedrijf heeft daarnaast ook een gratis tool ontwikkeld om door QakBot geforwarde poorten en de proxy-service van de malware te detecteren en te verwijderen.

Image

Reacties (8)
18-06-2017, 11:35 door Anoniem
Ik heb op mijn modem/router UPnP al jaren lang uitstaan. Alleen voor bittorrent en ftp (niet zo veilig protocol zonder encryptie, weet ik) had ik een rule aangemaakt op de modem/router.

Op Windows 10 home heb ik mijn netwerk op 'public' staan met alle inkomende verbindingen geblokkeerd (zonder uitzonderingen).

Nooit behoefte gehad aan meer open poorten en ftp (poort 20) en bittorrent (poort 6881) gebruik ik onderhand niet meer. Bittorent vooral niet meer omdat er zoveel PUPs bij zitten en zelfs trojans. Een ISO voor linux download ik heel af en toe van een mirror. ftp niet meer omdat ik mijn oude homepage bij mijn provider niet meer update.

Hoe dit zit met 3-in-1 weet ik niet. Misschien moeten daarvoor wel nog poorten openstaan.
O, en natuurlijk een (lang) wachtwoord op mijn modem/router zodat malware de instellingen hiervan niet kan wijzigen!
18-06-2017, 14:05 door Anoniem
Beveiligingsexperts waarschuwen al geruime tijd voor de risico's van UPnP
Ja, de oudste is waarschijnlijk Steve Gibson van grc.com.
Man man man, wat is die tekeer gegaan tegen Microsoft toen ze UPnP introduceerden, en die feature stond standaard "aan" ook nog. Hij heeft toen een tooltje ontwikkelt dat je aan kan klikken om heel snel en eenvoudig UPnP uit te zetten (groen) en eventueel ook weer aan (rood) als je dat wilt. Die software utility zal vast nog wel ergens op grc.com staan.
Ik weet alleen niet of dat ook nog op state-of-the-art -Windows versies nog werkt. (heb Windows achter me gelaten)
18-06-2017, 14:19 door Anoniem
Ik heb op mijn modem/router UPnP al jaren lang uitstaan. Alleen voor bittorrent en ftp (niet zo veilig protocol zonder encryptie, weet ik) had ik een rule aangemaakt op de modem/router.
Kijk dan ook even of WPS uitstaat en de functies die nodeloos aanstaan en gebruik maken van protocol TR-069.
18-06-2017, 14:25 door Briolet
Door Anoniem: Ik heb op mijn modem/router UPnP al jaren lang uitstaan.

Dat dacht ik ook, totdat is via een UPnP tooltje zag dat er forwards in mijn router stonden. Het betrof een Ubee router die zelf de UPnP forwards niet laat zien.

Er bleek een bug in de router te zitten, waardoor UPnP vanzelf aanging na een restart. Dat terwijl de bijbehorende checkbox aangaf dat het uit stond. De enige manier om het uit te zetten was eerst aan en dan weer uit te zetten.

Die bug is inmiddels opgelost, maar het laat wel zien dat je niet blind moet vertrouwen op de waardes van checkboxen.

…UPnP en vorig jaar adviseerde de FBI om het uit te schakelen.
Daar zijn ze wel erg laat mee. Ik adviseer dat al heel wat jaren langer.
18-06-2017, 14:28 door Anoniem
Sommige virusscanners slaan aan. False Positive?
https://virustotal.com/en/file/60f27735f4058addf54245af8b3497130cd10994e38978215cf3a6e70d28560c/analysis/1497788666/

Rising------Malware.Heuristic!ET#85% (rdm+)
TheHacker------Posible_Worm32
TrendMicro-HouseCall------PAK_Generic.005
18-06-2017, 15:07 door karma4
Deze titel heeft het hier over computers de link naar her voorgaande artikel heeft het over iot en linux apparaten ofwel de routers. Automatische configuratie klinkt leuk voor de leek maar gebruiksgemak heeft zo zijn nadelen.
19-06-2017, 12:37 door Anoniem
Ze gebruiken UPnP waar het voor bedoeld is , alleen met de verkeerde intentie.

Over 3 jaar wordt tech zodanig misbruikt dat overheden die het niet meer weten met waarschuwingen over triviale dingen komen en adviezen ala 'zet de computer uit na gebruik'.

Daar gaat het heen... cyber anarchisme.
19-06-2017, 16:17 door Briolet
Door Anoniem: Ze gebruiken UPnP waar het voor bedoeld is …

Klopt. Maar bij een feature dat toelaat om zonder wachtwoord gaten in je firewall te schieten, wil je toch echt dat hij standaard uit staat. Als mensen het willen gebruiken, moeten ze het zelf maar aanzetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.