Networkforensic

Threat hunting

MQTT -  Message Queuing Telemetry Transport

 10 September 2023  - Blog Post # 856

MQTT - Command and Control
MQTT er en protocol som benyttes mere og mere af forskellige IOT enheder. Det bruges ofte i forbindelse med kontrol af mange forskellige hardware dimser.Det kan eks være græsslåmaskiner som de små robotplæneklipperer vi kender fra eks private haver, eller centralanlæg i bygninger. Det kan også være kraftvarme værker  og meget meget mere.



C&C
Det også set i forbindelse med APT-Mustang Panda som benytter dette til C&C. Det er nok et protokol man skal have lidt mere fokus på, og især at få trafikken sikret og allerhelst pakket ind i noget VPN og fjernet åbne service porte der har direkte adgang til Internettet.



Sårbarheder
Antallet af sårbarheder der er rettet imod netop MQTT lader også til at stige en del. Jeg kender til 79 forskellige former for harware der er berørt af en eller anden form for sårbarhed. Typisk RCE til DDOS / DOS. Router udstyr, Firewall udstyr mm. er allerede berørt af dette. Der er sågar muligheder for at injecte pakker i packet streams, eller injecte pakker på krypteret MQTT. Så implementeringer og speks af protokollen vil jeg ikke just kalde for noget der er gennemprøvet eller færdigt. Ikke destro mindre ser vi det efterhånden brugt hver dag. Dog er det mest benyttet version lige nu 3.1.x.  Jeg er endnu ikke stødt på nogen version 5.x derude. Jeg ville nok anbefale at virksomheder allerede nu begynder at kigge på udstyr der bruger protokollen og allerede nu sikre dette med eks VPN tunnels, Krypteret brug osv...

Analyse af protokollen
Analyse af protokollen må også siges at have været en af de mere besværlige protokoller at foretage analyse på, da der kun finde meget begrænset information på denne derude. Dog er den meget interesseant, da den er meget overset, men bruges i stigende grad. Den største opgave har også været at få samlet nok information om attack metodikker imod denne. IDS signaturer til MQTT findes slet ikke derude. Det var ikke nogen nem opgave at finde pcaps med attacks imod MQTT frem.Det i høj grad krævet packet crafting. Har da også måtte ty til lidt hjælp igennem mit netværk hos IEEE.

Noget man skal være vågen overfor er at man typisk vil se en "fleet" af dimser kontrolleret via eks mobil telefoner. Det kan gøre det lidt mere besværligt at kontollere i en virksomhed for selvom dimsen er kontrolleret via en mobil telefon så er dimsen stadig opsat på det indterne netværk.

Hvem ville nogen sinde opdage at ens plæneklipper / robotstøvsuger deltager i et ondsindet Botnet :-) Ikke destro mindre kan jeg ikke gennemskue alle de steder nogen kunne finde på at bruge denne protokol og det kommer også an på hvor man opsætter IOT enheder med MQTT implementeret. Som beskrevet er det alverdens steder og derfor bør man selv lige undersøge hvor meget man har kørende på sit net.

Jeg har desuden frigivet en Wireshark profile, der kan hjælpe en del med analyse af MQTT.
https://networkforensic.dk/Tools/default.html

IDS rule frigivet / Identificering
For at man kan identificere om man overhovedet benytter MQTT på sit netværk , har jeg frigivet nogen forskellige IDS sigs. De kan bla finde Mustang Panda C&C brugen af MQTT ukypteret (Bør man især ikke benytte) Eller bruteforce attacks imod brokers, kan jeg også finde.

Typisk porte brugt er TCP 1883 og for krypteret brug, er det TCP 8883

Happy hunting... 

 SNORT
NF IDS Rules

10 Latest Updates

MQTT Bruteforce

MQTT Clear TXT

MQTT Mustang Panda

Trojan Formbook

Zyxel ZyWALL

PikaBot Trojan

Reverse Shell Without TTY

ELF executable download

Download   
 

 Suricata
NF IDS Rules

10 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 

Download