部署NSA强大功能后仅一年多 网上泄漏了 数以十万计的计算机仍未得到纠正且容易受到攻击。
首先,它们被用来传播勒索软件,然后是加密货币挖掘攻击。
现在 研究人员说,黑客(或黑客)正在使用过滤工具来创建更大的恶意代理网络。。 因此,黑客使用NSA工具劫持计算机。
最近的发现
安全公司“ Akamai”的新发现表明,UPnProxy漏洞滥用了通用的即插即用通用网络协议。
现在,您可以将目标锁定在路由器防火墙后面的未修补计算机。
攻击者传统上使用UPnProxy在受影响的路由器上重新分配端口转发设置。
因此,它们允许混淆和恶意流量路由。 因此,这可用于发起拒绝服务攻击或传播恶意软件或垃圾邮件。
在大多数情况下,网络上的计算机不会受到影响,因为它们受到路由器的网络地址转换(NAT)规则的保护。
但现在, Akamai说,入侵者使用更强大的攻击手段来穿越路由器并感染网络上的各个计算机。
这为入侵者提供了更多的设备。 而且,它使恶意网络变得更加强大。
撰写报告的Akamai的Chad Seaman说:“虽然不幸的是看到攻击者利用UPnProxy并积极利用它来攻击以前受NAT保护的系统,但最终还是会发生。”
攻击者利用两种类型的注入漏洞:
其中第一个是 EternalBlue,这是国家安全局开发的后门 攻击装有Windows的计算机。
对于Linux用户,有一个称为 EternalRed,攻击者通过Samba协议独立访问。
关于永恒红色
重要的是要知道Samba 3.5.0版容易受到此远程代码执行漏洞的攻击,从而使恶意客户端可以将共享库上传到可写共享, 然后让服务器加载并运行它。
攻击者可以访问Linux计算机并 使用本地漏洞提升特权以获得root用户访问权限并安装可能的未来勒索软件或类似于用于Linux的WannaCry软件副本。
UPnProxy修改易受攻击的路由器上的端口映射。 永恒的家族致力于解决SMB使用的服务端口,SMB是大多数计算机使用的通用网络协议。
Akamai一起将这种新的攻击称为“ EternalSilence”,极大地扩展了代理网络对更多易受攻击设备的传播。
数以千计的受感染计算机
Akamai说,庞大的网络已经控制着超过45.000台设备。 潜在地,这个数字可以达到一百万台以上的计算机。
这里的目标不是“有针对性的攻击”,而是试图利用已证明的漏洞利用技术,在相对较小的空间内启动大型网络,以期希望能够捡起一些以前无法访问的设备。
不幸的是,永恒的指令很难被检测到,这使得管理员很难知道它们是否被感染。
也就是说,针对EternalRed和EternalBlue的修复程序是在一年多以前发布的,但是数百万的设备仍未打补丁且容易受到攻击。
易受攻击的设备数量正在减少。 但是,希曼说,新的UPnProxy功能“可能是最后的努力,即使用已知的攻击手段来攻击一组可能未经修正的,以前无法访问的计算机。”