什么是 UPnP？

在数字世界中，由于软件设计缺陷造成的安全漏洞比比皆是。

通用即插即用 (UPnP) 的推出被誉为一项巨大的科学进步。

然而，它也存在一些缺点，可能使您的系统容易受到黑客攻击。事实上，成千上万的路由器默认启用了它。

本文将解释什么是 UPnP 以及它对您的系统带来的隐私问题。

UPnP 定义

一套称为通用即插即用 (UPnP) 的网络协议。它允许计算机系统、安全进程、扫描仪、流媒体服务器和 Wi-Fi 认知框架等系统组件互相发现彼此的主要通信时间，并生成数据交换等建议的神经服务。

UPnP 最初设计用于没有创新互连的安全网络。

这项创新假定了一个系统模型 IP（互联网协议），在此过程中，它使用 XML、SOAP 和 HTTP，并提供服务/设备摘要、数据包转发、行为和管理。

使用 HTTPMU 可以允许商业和硬件查询请求，以操作 HTTP 协议，通过 UDP - 端口 1900（多播）。搜索查询的响应通常通过 UDP 发送。

UPnP 网站，一个旨在鼓励与台式计算机的强大方法互连并支持来自多个零售商的设备的商业项目，支持了这项创新。

该委员会包括 800 多家零售商，专业领域涵盖从计算机集群到电子产品。然而，截至 2016 年，可访问互连框架管理通用即插即用。

通用即插即用 (UPnP) 旨在改进即插即用（一项自适应地启用设备通信的创新）的功能，使其成为 SOHO 和住宅区无线网络的近乎零配置通信。

因此，UPnP 设备是典型的即插即用设备。当连接到互联网时，它们会自动搜索并生成与其他设备工作的设置。

UPnP 的目的是什么？

如果最初的概念似乎有点复杂，可以考虑以计算机为例。

在办公室环境中，第一步是将其安全地连接到无线路由器——尽管现在可以通过 Wi-Fi 实现。以前，您需要开始搜索扫描仪，然后配置它以查找网络上的其他设备。

连接后，该系统上的技术将通过发送或接收数据来相互通信。因此，台式机可以通知打印文件，机顶盒可以发送音频数据，智能手机可以自行安装到台式机上。可能性是无限的。

这就是为什么它被称为即插即用。您插入一台设备，即可立即开始使用，无需经历设置和管理连接的麻烦和成本。因此，它是我们最有效的网络创新之一。

另一方面，UPnP 技术存在严重漏洞。例如，如果连接到网络的计算机组受到威胁，入侵者可能可以远程控制所有计算机和安全系统。因此，可以访问您的登录信息以及所有其他网络连接设备。此外，一旦一台计算机被入侵，它就可以被用作恶意软件的一部分，对网站发起分布式拒绝服务 (DDoS) 攻击，同时隐藏攻击者的位置。它还可以成为其他威胁的跳板。

随着越来越多的设备使用这项创新来访问互联网，它们成为攻击者收集设备以压倒本地企业的理想目标。

通用即插即用的安全风险

根据 Akamai 的一项安全调查，攻击者积极利用这项技术的缺陷作为发起更具影响力的攻击的跳板。

恶意软件分发、DDoS、信用卡欺诈和恶意电子邮件只是其中的一些例子。

根据获取的情报，超过四百万台设备极易被用于网络攻击。这个数字占全球约 1100 万台 UPnP 应用程序的 38%。它为攻击者提供了巨大的资源，可以利用企业和微型攻击来制造重大威胁。在很大程度上，这些欺诈者利用这些数字技术缺陷重复重定向公司流量，直到完全无法检测。此外，尽管公司意识到了这些缺陷，但攻击者试图利用普遍存在的对改进技术的漠不关心。

这项创新不使用交换机进行验证。

这意味着要维护安全，信道的接口必须包含提供指令安全代理或设备防御代理。也有一个非标准解决方案，称为通用即插即用 - 用户名 (UPnP-UP)，它建议添加以促进 UPnP 应用程序和技术的用户系统和信息方法。不幸的是，大多数全球即插即用硬件架构缺乏安全协议，因为它们假定本地设备及其客户可以被接受。

使用 UPnP 过程的系统和适配器在不使用材料事实的情况下变得能够抵抗威胁。

通用即插即用的威胁

毕竟，这种易用性为攻击者创造了机会。在 Mirai 的场景中，它允许他们在入侵另一台机器之前扫描这些终端。

攻击者通过特洛伊木马 Pinkslipbot（也称为 QakBot 或 QBot）发现了对 UPnP 更为邪恶的应用。QakBot 自 2000 年以来一直在感染计算机，安装键盘记录器，然后将账户信息发送到远程命令与控制 (C2) 服务器。

什么是 C2 服务器？

这是一种隐蔽的后渗透策略，因为它使 IT 安全部门更难检测到任何异常。即便如此，对于观察网络的管理员或技术人员来说，客户似乎在浏览互联网——尽管 RAT 正在获取集成指令来登录或查找个人身份信息 (PII)，并将登录凭据、信用卡详细信息和其他敏感信息发送到 C2。

最好的威慑是控制已知的 C2 隐藏场所。毕竟，黑客玩着猫捉老鼠的游戏，寻找互联网上的新黑暗区域来建立他们的数据中心，因为旧的模型已被组织安全人员处理。

而 Pinkslipbot 在这里做出了重大贡献。为了更好地表达，它呈现了核心恶意软件，它会感染计算机但不会窃取登录凭据！相反，核心恶意软件会设置一个 VPN C2 服务器，该服务器向实际的 C2 服务器发送 HTTPS 请求。

因此，Pinkslipbot 设备没有 C2 数据库的指定网址。实际上，整个世界就是它们的游乐场！这使得几乎不可能维护一个当前域名或标识列表进行扫描。

UPnP 与 Pinkslipbot 有何关联？

当 Pinkslipbot 接管用户笔记本电脑时，它会验证 UPnP 是否已打开。如果是，Pinkslipbot 核心恶意软件会向路由器发送 UPnP（通用即插即用）请求，要求打开一个社交端口。这使得 Pinslipbot 能够充当 RAT 感染的机器与攻击者 C2 服务器之间的中介。

这是邪恶的，我们可以勉强向这些人致以（黑）帽子的敬意。

我们可以做的是禁用我们家庭网络上的 UPnP 或端口转发功能，使此类威胁更难执行。您很可能不需要它！

UPnP 的工作原理

UPnP 意味着设备是 IP 可寻址的，可以使用在其上开发的网络协议，例如 HTTP（超文本传输协议）、XML（可扩展标记语言）、传输控制协议 (TCP) 和用户数据报协议 (UDP)。这些协议用于促进计算机的可见性以及数据传输。它连接到 UDP 数据包 1900。

应对

1. UPnP 使用 IP 地址，因此，当它启动时，它会充当 DHCP（动态主机配置协议）客户端，为其分配一个内部协议地址并搜索 DHCP 服务器。
2. 如果没有配置 DHCP 服务器，设备会使用一种称为 AutoIP 的概念为自己分配 IP 地址，该地址是其家庭网络中独有的。
3. 如果设备在 DHCP 合同期间从域名服务器 (DNS) 接收到网络域，它将使用该网络域；否则，它将使用其 IP 地址。

简单服务发现协议 (SSDP)

SSDP 是 UPnP 设备用来互相发现的协议。

1. 当一台设备连接到系统时，它可以通过发送 SSDP 完整数据包向其他连接的设备宣传其服务。
2. SSDP 还允许设备响应其他连接设备的 SSDP alive 文本。
3. 当多个节点互相发现时，会传输一个发现文本，其中包含重要信息，例如特定设备和提供的服务。

设备摘要

当技术互相发现时，它们会以 XML 文件共享信息以了解彼此。这些文本包括制造商名称、产品 ID、制造商网页、设备提供的服务、要为服务传递给设备的操作或声明等信息。

服务请求

在获得设备及其服务信息后，控制面板可以通过客户提供的 URL 请求服务，该 URL 的功能类似于编码函数调用。这是通过使用简单对象访问协议 (SOAP) 来完成的，该协议传输 XML 文本。

通用事件通知体系结构 (GENA)

GENA 架构样式在 UPnP 中用于传入消息。服务也使用它来响应客户查询。控制点可以订阅通知；每台设备都有一个设备属性集，当这些属性更改时，会通知协调系统。这些文本也将以 XML 文件发送。

呈现

设备可能包含指向公司网站的 URL 以供演示；检查点将使用此 URL 来提取数据，客户也可以使用它来在网络浏览器中个性化设置菜单。

不要忽视网络安全

通用即插即用策略的目标是使特定网络上的系统能够被同一网络上的其他设施轻松识别。遗憾的是，一些通用即插即用 (UPnP) 控制模块可能会暴露给公司网络，从而允许网络罪犯检索并连接到您的系统。

受损的设备对您的公司服务器来说只是一个等待发生的灾难。由于这些攻击的极端复杂性，在攻击发生时识别它对客户来说会非常困难。

在当今世界，灵活的工作场所文化是最佳选择，越来越多的员工将访问点带进带出工作。在公司信息安全方面，不允许有任何失误。

这里的教训是，您应该禁用 UPnP（通用即插即用）路由器配置。

UPnP 的好处

1. 它对于 NAT 封装和防火墙穿透很有用。
2. 它实现了真正的即插即用互操作性。
3. 它得到了包括微软和英特尔在内的许多大型供应商和企业的支持，使其成为行业标准。
4. 它是家庭电器和渠道的绝佳结构。

UPnP 的缺点

1. 由于性能指标不需要验证，计算机上的任何系统都可以请求转发 UPnP 连接器。
2. 由于没有 UPnP 的标准集成，每个调制解调器都有自己的；许多配置存在错误或允许间谍软件渗透。
3. 任何渠道上的恶意软件攻击者都可以使用 UPnP，方式与真正的计划相同。