Security Professionals - ipfw add deny all from eindgebruikers to any

Apple computers scannen subnet op zoek naar HNAP1

29-11-2019, 15:19 door Anoniem, 10 reacties
Ik zie hier de laatste tijd op het gasten netwerk enkele Apple devices die zo eens per dag het hele subnet afzoeken naar http servers en als ze die vinden halen ze eerst het root document op (GET / HTTP/1.1) en als dat een redirect returned
dan volgen ze die redirect (nog een GET dus), daarna doen ze een "GET /HNAP1/ HTTP/1.1" en dat returned hier
een 404 en dan houden ze het voor gezien.
Ze proberen dat kennelijk met alle adressen in het subnet, wat ik zie aan de ARP storm die ze daarmee veroorzaken,
de bovenstaande details komen van een webserver die toevallig op dat netwerk zit (niet op het gateway of DHCP server
adres!)

Over HNAP1 vind ik hier en daar dat dit een of ander primitief router beheer protocol is en dat het meestal genoemd
wordt in de context van router vulnerabilities. Ook zouden er exploits zijn die dan op zoek gaan naar deze feature.

Is er iets bekend over een recente trojan die op Apple devices geinstalleerd wordt en die bovenstaand gedrag vertoont?
Of is er een recente update van Apple Mac OS die preventief die scan doet om je te waarschuwen voor een vulnerable
router ofzo?
Of misschien is het gewoon een beheertool van een of andere router fabrikant dat op zoek gaat naar te beheren
routers op ieder netwerk wat de gebruiker toevallig connect?

Ik kan wel op zoek gaan naar de eigenaars van die devices (nog niet eens zo simpel met alle privacy toestanden van
tegenwoordig) maar dan zou ik wel graag een goed verhaal klaar hebben, dus niet aankomen met "je hebt een virus
op je Mac" als dat helemaal niet de situatie is...
Reacties (10)
29-11-2019, 16:09 door Tintin and Milou
The Home Network Administration Protocol is a network device management protocol dating back to 2007. There are four problems with HNAP. One, is that it has a long history of buggy implementations. It can also tell bad guys technical details of a router making it easier for them to find an appropriate vulnerability to attack. The fact that a router supports HNAP may not be visible in its administrative interface. Worst of all, HNAP often can not be disabled. Four strikes, you're out.

You can test if a router supports HNAP by typing

http://1.2.3.4/HNAP1/

where 1.2.3.4 is the IP address of your router. Of course, every router has two IP addresses one on the public side and one on the private side. I suggest testing for HNAP on each.

https://routersecurity.org/testrouter.php

Schijnen nog wel wat bugjes in te zitten die misbruikt worden. Ik zou die machines zeker niet zomaar vertrouwen. Eventueel machine via DHCP reservations blockeren? Gaan ze vanzelf wel bellen.
29-11-2019, 17:01 door Anoniem
Ik kan wel op zoek gaan naar de eigenaars van die devices (nog niet eens zo simpel met alle privacy toestanden van
tegenwoordig) maar dan zou ik wel graag een goed verhaal klaar hebben, dus niet aankomen met "je hebt een virus
op je Mac" als dat helemaal niet de situatie is...
Jouw netwerk, jouw regels. Dus als jij zegt, "ik wil je kunnen vinden als er iets is dus dan kijk ik waar je MACadres uithangt en kom ik daar even langs", dan kan en mag dat. Alleen, als je het precies juridisch dichtgetimmerd wil hebben dan zul je ook je gastennetwerk alleen maar moeten openstellen onder kenbaarmaking van die regels.

Ik heb geen idee van recente uitbraken op de apple mac, maar het hoeft ook niet eens malware te zijn. Het kan dat iemand zelf iets geinstalleerd heeft, of dat er een beheersfeature op de mac zit (en aanstaat cq aangezet is) dat "even rondkijkt" op het lokale netwerk zodat het routers e.d. kan laten zien. Ze zijn daar bij apple nogal op de "zero conf", dus het kan dat dit daar een onderdeel van is. Wat het niet automatisch tot een goed idee maakt, maar dat is een ander verhaal.

Maargoed, je gaat er langs. En dan vertel je wat je weet ("ik zie dat die computer scans uitvoert op het netwerk, en dan om 'HNAP1' aan http-servers vraagt"), en je vraagt of ze er iets van weten. Als ze zeggen van niet dan kun je ze aanraden hun computer op ongewenste rommel te laten controleren, want het doet dingen waarvan ze net gezegd hebben geen weet te hebben. Wil je strikt zijn gooi je ze in een quarantainenetwerk wegens "geen idee wat, maar goed is het niet". Als ze de scans uit weten te zetten mogen ze weer meedoen. Redelijk goed verhaal, toch?
29-11-2019, 20:09 door Anoniem
Door Tintin and Milou: Eventueel machine via DHCP reservations blockeren? Gaan ze vanzelf wel bellen.
Lekker passief-aggressief. Voor hetzelfde geld bellen ze hun handige neefje die ze vertelt hoe ze hun MACadres moeten veranderen. Ga er gewoon zelf heen en praat met die mensen. Ja, ik weet het, daarvoor ben je niet in het vak gegaan. Maar soms moet het toch.
29-11-2019, 22:15 door Anoniem
Met de eerste reacties ben ik nog niet zoveel verder gekomen, er staat ofwel in wat ik al wist en vermeld had, ofwel wat ik
wel en niet met de eigenaars van die computers mag gaan doen. Maar het gaat me er eigenlijk meer om of dit fenomeen
een gevolg is van malware of dat het legitiem is. Het komt meerdere malen voor maar lang niet bij iedere Mac.
(er zitten er tientallen op dit netwerk)

Extra info: er wordt geen useragent string meegestuurd met de http verzoeken (ik dacht dat ga ik eens checken en daar
komt dit dus uit).

Inderdaad kan ik met behulp van het momenteel geconnecte accesspoint en de hostnaam van de Mac (die lekt meestal
wel wat info) er vast wel achterkomen wie het is. ("wie heeft hier een Macbook en heet Kevin??")
Maar dan moet er wel eerst iets zijn wat oplosbaar is en liefst ook iets waarvan de gebruiker er baat bij heeft dat het opgelost
wordt (bijv attent maken op malware).
29-11-2019, 22:17 door Anoniem
Op iets van Apple? Is dat niet afgekort het hap-snap protocol? Want zo ken ik ze al sinds systeem 7.5!
30-11-2019, 09:41 door Anoniem
Door Anoniem: Maar dan moet er wel eerst iets zijn wat oplosbaar is en liefst ook iets waarvan de gebruiker er baat bij heeft dat het opgelost wordt (bijv attent maken op malware).
Een goedwerkend netwerk lijkt me ook in het belang van de gebruiker.

Het bericht aan je (gast)gebruikers is vooralsnog "geen idee wat er aan de hand is maar ik zoek het uit, help je mee?"

Met zekerheid zeggen wat het is kun je pas als je het uitgezocht hebt en daarvoor heb je de apparatuur zelf nodig, niet wat willekeurige anoniempjes elders in het land, of in de wereld. Je kan hooguit rondzoeken wat het zou kunnen zijn, en meer dan wat je al gevonden hebt is hier verder ook niet bekend.

Maar zoals gezegd, het kan een infectie zijn, maar ook een (meer of minder legitiem) door de gebruiker geinstalleerd ding, maar ook een feature van het OS zelf. Je hebt dus best handvatten om verder te zoeken.

Ga bijvoorbeeld eens een gespecialiseerd macos forum vragen of ze iets weten van HNAP en/of "router configuration" features of applicaties van en voor hun favoriete OS.
30-11-2019, 09:43 door Anoniem
Door Anoniem:
Door Tintin and Milou: Eventueel machine via DHCP reservations blockeren? Gaan ze vanzelf wel bellen.
Lekker passief-aggressief. Voor hetzelfde geld bellen ze hun handige neefje die ze vertelt hoe ze hun MACadres moeten veranderen. Ga er gewoon zelf heen en praat met die mensen. Ja, ik weet het, daarvoor ben je niet in het vak gegaan. Maar soms moet het toch.
Als je echter vanuit GDRP wetgeving of interne afspraken niet mag traceren, dan is dit gewoon een goede oplossing.

En langs gaan kan inderdaad, mits je de persoon kunt en mag vinden. Nadeel kan wel zijn. Ik ken genoeg bedrijven waar men meerdere locaties heeft. Om "even" kangs te gaan, kan je wel eens een 1/2 dag kosten. Kostbare aangelegenheid.
30-11-2019, 15:20 door Anoniem
Door Anoniem: Met de eerste reacties ben ik nog niet zoveel verder gekomen, er staat ofwel in wat ik al wist en vermeld had, ofwel wat ik
wel en niet met de eigenaars van die computers mag gaan doen. Maar het gaat me er eigenlijk meer om of dit fenomeen
een gevolg is van malware of dat het legitiem is. Het komt meerdere malen voor maar lang niet bij iedere Mac.
(er zitten er tientallen op dit netwerk)

Extra info: er wordt geen useragent string meegestuurd met de http verzoeken (ik dacht dat ga ik eens checken en daar
komt dit dus uit).

Inderdaad kan ik met behulp van het momenteel geconnecte accesspoint en de hostnaam van de Mac (die lekt meestal
wel wat info) er vast wel achterkomen wie het is. ("wie heeft hier een Macbook en heet Kevin??")
Maar dan moet er wel eerst iets zijn wat oplosbaar is en liefst ook iets waarvan de gebruiker er baat bij heeft dat het opgelost
wordt (bijv attent maken op malware).

Sorry - ik kan niks bruikbaars toevoegen - Alleen dat ik dit gedrag niet genoemd heb zien worden op (security) mailinglisten of andere fora.
(en niet zie op mijn mac)

Ongetwijfeld heb je al lang ge-googled en daaruit ook geen directe link met mac gevonden.
(Ik vond een 'moon' worm dd 2014, en 'puremasuta', recenter).

Het meest effectief lijkt me inderdaad als je één of enkele personen met de scannende Macs vraagt of je op hun mac mag kijken/testen wat dit zou kunnen zijn.
Weet je of een individueel apparaat dit continu doet, of met een interval (bij online gaan/na dhcp request, uurbasis ?)

FYI - mac's hebben standaard tcpdump aan boord, dus je kunt 'direct' zien of het gebeurd en stopt als je iets uitzet.
30-11-2019, 20:05 door Anoniem
Door Anoniem:
Sorry - ik kan niks bruikbaars toevoegen - Alleen dat ik dit gedrag niet genoemd heb zien worden op (security) mailinglisten of andere fora.
(en niet zie op mijn mac)

Ongetwijfeld heb je al lang ge-googled en daaruit ook geen directe link met mac gevonden.
(Ik vond een 'moon' worm dd 2014, en 'puremasuta', recenter).

Het meest effectief lijkt me inderdaad als je één of enkele personen met de scannende Macs vraagt of je op hun mac mag kijken/testen wat dit zou kunnen zijn.
Weet je of een individueel apparaat dit continu doet, of met een interval (bij online gaan/na dhcp request, uurbasis ?)

FYI - mac's hebben standaard tcpdump aan boord, dus je kunt 'direct' zien of het gebeurd en stopt als je iets uitzet.

Inderdaad ik heb gegoogled en een aantal dingen onderzocht en in mijn start posting opgeschreven. Opvallend hoe
veel reageerders hetzelfde schrijven als daar al stond. Maar daar heb ik niet veel aan natuurlijlk.
Zoals er (ook) al staat, die macs doen het zo'n een maal per dag. Wellicht bij het inschakelen of connecten met het
netwerk ofzo. Dat zou ik nog nader kunnen uitzoeken aan de hand van de verschillende logs.

Ik heb zelf nul kennis van de Mac dus ik zie het niet zo zitten om naar zo iemand toe te lopen en te zeggen "geef me
dat ding even en laat me zien hoe je een cmd venster opent dan zal ik dat ding eens gaan onderzoeken". En als ik
de gemiddeld Mac gebruiker het verhaal ga vertellen verwacht ik ook niet direct dat die dat begrijpt en dat die zelf komt
met "oh dat ligt natuurlijk aan dat beheerprogramma van mijn vorige router wat ik 2 jaar geleden geinstalleerd heb maar
waar ik nooit wat mee doe". Dat is het soort van geheugen dat een eindgebruiker niet heeft, zeker niet als hem iets
gevraagd wordt over een probleem wat jij hebt met zijn computer. We kennen dat ook van de medewerkers die we
wel moeten ondersteunen en die bij ons komen met rare problemen, als je die dingen gaat vragen zoals "heb je
misschien vorige week dit of dat gedaan" dan gaan ze niet vanzelf over de brug komen als ze het vermoeden hebben
dat ze daarmee de schuld van het probleem krijgen. Dan nog liever liegen.

Daarom probeer ik concrete info te verzamelen. En als dat niet lukt dan laat ik het wellicht gewoon liggen, het is niet
zo zeer schadelijk, het is meer iets wat naar voren kwam bij het tunen van de configuratie van dit netwerk en het om
een beperking van de apparatuur heen werken bij optimaliseren van de performance. (zie de referentie naar die
ARP storm)
01-12-2019, 15:47 door Anoniem
Door Anoniem:
Door Anoniem:
Sorry - ik kan niks bruikbaars toevoegen - Alleen dat ik dit gedrag niet genoemd heb zien worden op (security) mailinglisten of andere fora.
(en niet zie op mijn mac)

Ongetwijfeld heb je al lang ge-googled en daaruit ook geen directe link met mac gevonden.
(Ik vond een 'moon' worm dd 2014, en 'puremasuta', recenter).

Het meest effectief lijkt me inderdaad als je één of enkele personen met de scannende Macs vraagt of je op hun mac mag kijken/testen wat dit zou kunnen zijn.
Weet je of een individueel apparaat dit continu doet, of met een interval (bij online gaan/na dhcp request, uurbasis ?)

FYI - mac's hebben standaard tcpdump aan boord, dus je kunt 'direct' zien of het gebeurd en stopt als je iets uitzet.

Inderdaad ik heb gegoogled en een aantal dingen onderzocht en in mijn start posting opgeschreven. Opvallend hoe
veel reageerders hetzelfde schrijven als daar al stond. Maar daar heb ik niet veel aan natuurlijlk.
Zoals er (ook) al staat, die macs doen het zo'n een maal per dag. Wellicht bij het inschakelen of connecten met het
netwerk ofzo. Dat zou ik nog nader kunnen uitzoeken aan de hand van de verschillende logs.

Ah, sorry - overheen gelezen dat je de frequentie van de scan per device ook al genoemd had.

Ik ken de frustratie : hoe completer en duidelijk je startvraag , des te waardelozer de antwoorden.
En zeker als je soms zelf mensen goed op weg helpt, en dan denk je 'nu heb ik ook eens een bruikbare hulp verdiend' en krijg je niks.


Ik heb zelf nul kennis van de Mac dus ik zie het niet zo zitten om naar zo iemand toe te lopen en te zeggen "geef me
dat ding even en laat me zien hoe je een cmd venster opent dan zal ik dat ding eens gaan onderzoeken".

FWIW, de shell zit in Applications -> Utilities -> Terminal .
(Of de nederlandse vertaling ervan) .
'Console' is een log viewer .

Je krijgt een bash shell, en dan kun tcpdump starten. Als de gebruiker de beheerder is kan dat zonder sudo / root .
(En ps , top etc ).

Als het een goed verstopte trojan is, zul je wel iemand nodig hebben die goed thuis is in Macs. Maar als het 'gewoon' een printer/router config utility is kun je die wel tegenkomen.
In de basis is OS-X wel een Unix, maar heel fors verbouwd tov van een klassieke *BSD.

Dan zou ik nog in de preferences utility (grijs dring met tandwiel-logo) kijken , naar users & groups , en dan bij de gebruiker naar 'login items' .
Daar staan extra programma's die bij login van die gebruiker gestart worden. (denk aan bv fitbit drivers/programma, itunes Helper, ).
Gezien je kennis zal dat je ook als Mac-leek wel lukken om te bekijken en een idee te hebben of het een relatie heeft of niet.


En als ik
de gemiddeld Mac gebruiker het verhaal ga vertellen verwacht ik ook niet direct dat die dat begrijpt en dat die zelf komt
met "oh dat ligt natuurlijk aan dat beheerprogramma van mijn vorige router wat ik 2 jaar geleden geinstalleerd heb maar
waar ik nooit wat mee doe".

Inderdaad - geen enkele 'gemiddelde' gebruiker trouwens, Mac noch Windows noch Linux.

[..]

Daarom probeer ik concrete info te verzamelen. En als dat niet lukt dan laat ik het wellicht gewoon liggen, het is niet
zo zeer schadelijk, het is meer iets wat naar voren kwam bij het tunen van de configuratie van dit netwerk en het om
een beperking van de apparatuur heen werken bij optimaliseren van de performance. (zie de referentie naar die
ARP storm)

Als je genoeg zin en tijd hebt zou je nog een honeypot dan wel echte HNAP sprekend routertje (het ding hoeft niet te routeren, alleen maar HNAP praten) kunnen aansluiten en dan meekijken wat de clients gaan sturen als ze wel een antwoord ipv een 404 krijgen. Mogelijk dat daaruit beter af te leiden is wat de software wil en welk soort software het is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.