部署一年多後挫敗了NSA的強大功績。 網上洩漏了 數以十萬計的計算機仍未得到糾正且容易受到攻擊。
首先,它們被用來傳播勒索軟件,然後是加密貨幣挖掘攻擊。
現在, 研究人員說,黑客(或黑客)正在使用過濾工具來創建更大的惡意代理網絡。。 因此,黑客使用NSA工具劫持計算機。
最近的發現
安全公司“ Akamai”的新發現表明,UPnProxy漏洞濫用了通用的即插即用通用網絡協議。
現在,您可以將目標鎖定在路由器防火牆後面的未修補計算機。
攻擊者傳統上使用UPnProxy在受影響的路由器上重新分配端口轉發設置。
因此,它們允許混淆和惡意流量路由。 因此,這可用於發起拒絕服務攻擊或傳播惡意軟件或垃圾郵件。
在大多數情況下,網絡上的計算機不會受到影響,因為它們受到路由器的網絡地址轉換(NAT)規則的保護。
但是現在 Akamai說,入侵者使用更強大的攻擊手段來穿越路由器並感染網絡上的各個計算機。
這為入侵者提供了更多的設備。 而且,它使惡意網絡變得更加強大。
撰寫報告的Akamai的Chad Seaman說:“雖然不幸的是看到攻擊者利用UPnProxy並積極利用它來攻擊以前受NAT保護的系統,但最終還是會發生。”
攻擊者利用兩種類型的注入漏洞:
其中第一個是 EternalBlue,這是國家安全局開發的後門 攻擊裝有Windows的計算機。
對於Linux用戶,有一個稱為 EternalRed,攻擊者通過Samba協議獨立訪問。
關於永恆紅色
重要的是要知道Samba 3.5.0版容易受到此遠程代碼執行漏洞的攻擊,從而使惡意客戶端可以將共享庫上傳到可寫共享, 然後讓服務器加載並運行它。
攻擊者可以訪問Linux計算機並 使用本地漏洞提升特權以獲得root用戶訪問權限並安裝可能的未來勒索軟件或類似於此WannaCry Linux軟件副本。
UPnProxy修改易受攻擊的路由器上的端口映射。 永恆的家族致力於解決SMB使用的服務端口,SMB是大多數計算機使用的通用網絡協議。
Akamai一起將這種新的攻擊稱為“ EternalSilence”,極大地擴展了代理網絡對更多易受攻擊設備的傳播。
數以千計的受感染計算機
Akamai說,龐大的網絡已經控制著超過45.000台設備。 潛在地,這個數字可以達到一百萬台以上的計算機。
這裡的目標不是“有針對性的攻擊”,而是試圖利用已證明的漏洞利用技術,在相對較小的空間內啟動大型網絡,以期希望能夠撿起一些以前無法訪問的設備。
不幸的是,永恆的指令很難被檢測到,這使得管理員很難知道它們是否被感染。
也就是說,針對EternalRed和EternalBlue的修復程序已於一年前發布,但是數百萬的設備仍未打補丁且容易受到攻擊。
易受攻擊的設備數量正在減少。 但是,希曼說,新的UPnProxy功能“可能是最後的努力,即使用已知的攻擊手段來攻擊一組可能未經修正的,以前無法訪問的計算機。”