Tehdit aktörleri, savunmasız güvenli kabuk protokolü (SSH) sunucularını, bir kurbanın ağ bant genişliğini para karşılığında çalan, gelişmekte olan ve kazançlı bir saldırı vektöründen yararlanan Docker hizmetlerini başlatmak için kullanıyor.
Haziran ayında Akamai Security Intelligence Response Team’den (SIRT) araştırmacılar, şu anda aktif olan ve proxyjacking adı verilen yeni bir saldırı türü kullanan kampanyayı keşfettiler. bir blog gönderisinde ortaya çıktı geçen hafta.
Araştırmacılar, tehdit aktörlerinin uzaktan erişim için SSH kullandığını ve daha sonra kurban sunucuları bilgileri olmadan Peer2Proxy veya Honeygain gibi meşru bir eşler arası (P2P) proxy ağına dahil eden kötü amaçlı komut dosyaları çalıştırdığını söyledi. İnternete bağlı cihazlarda yüklü yardımcı uygulamaları veya yazılımları kullanan bu ağlar — uygulama kullanıcılarının IP adresini kullanmak için ödeme yaparak birisinin İnternet bant genişliğini paylaşmasına izin verin.
Bir SIRT güvenlik araştırmacısı olan Allen West gönderisinde, “Bu, saldırganın, kripto madenciliği için gerekli kaynak yükünün yalnızca bir kısmıyla, daha az keşif şansıyla, şüphelenmeyen bir kurbanın ekstra bant genişliğinden para kazanmasına izin veriyor.”
Araştırmacılar, özetle, bu hizmetlerden yararlanan ve büyük ölçekte potansiyel olarak siber suçlulara ayda yüzbinlerce dolar pasif gelir sağlayabilen, gelişmekte olan bir saldırı modeli olan proxyjacking olduğunu buldu.
Proxyjacking fikri yeni olmasa da tamamen yasa dışı bir girişim olan cryptojacking’i uzak bir kuzen olarak düşünün. — West, ana akım şirketlerin bağlı kuruluşları olarak birinin bant genişliğine bindirmeden kolayca para kazanma yeteneğinin yeni olduğunu, bu da güvenlik araştırmacılarının tehdit ortamında neden daha fazla proxyjacking gördüğünü açıklıyor, diye uyardı West.
“Finansal kazanç için basit bir yol sağlamak, bu vektörü hem kurumsal dünya hem de ortalama tüketici için bir tehdit haline getirerek farkındalık ihtiyacını artırıyor ve umarız hafifletme” diye yazdı.
Araştırmaya göre, Proxyjacking, tehdit aktörlerinin kötü amaçlı trafiği son hedefine ulaşmadan önce çok sayıda eş düğüm aracılığıyla yönlendirerek izlerini gizlemesini de kolaylaştırıyor. Bu, mağdurların veya araştırmacıların hain etkinliğin kaynağını belirlemesini zorlaştırıyor; bu, etkinliklerinden herhangi bir sonuç almadan para kazanmak isteyen saldırganlar için başka bir çekici seçenek.
Saldırı Nasıl Çalışır?
Akamai araştırmacılarının tespit ettiği saldırının ilk belirtisi, bir saldırganın etkinliği gizlemek için çift Base64 kodlu Bash betiği kullanarak şirketin bal küplerinden birine birden fazla SSH bağlantısı kurmasıydı. Komut dosyasını başarıyla çözdüler ve tehdit aktörünün proxyjacking yöntemini tam işlem sırasına kadar gözlemleyebildiler.
Akamai SIRT’e göre komut dosyası, paylaşılan bant genişliğinden yararlanacak ortak olarak $PACCT tarafından belirtilen hesabı kullanarak güvenliği ihlal edilmiş sistemi Peer2Profit proxy ağındaki bir düğüme dönüştürdü. Aynı işlemin bir süre sonra bir Honeygain kurulumu için kullanıldığı görüldü.
West, “Komut dosyası, gizli ve sağlam olacak şekilde tasarlandı ve ana sistemde yüklü olan yazılımdan bağımsız olarak çalışmaya çalıştı,” diye yazdı.
Komut dosyası, çeşitli işlevleri yürütmeye devam eder; bunlardan biri, bir terminal aracılığıyla bir cihaz ile bir sunucu arasında veri alışverişini sağlayan bir komut satırı aracı olan cURL’nin gerçek, değiştirilmemiş bir sürümünü indirmektir.
West, saldırganların planın çalışması için ihtiyaç duyduğu tek şey bu araç gibi görünüyor ve “kurban ana bilgisayarda yoksa, saldırgan onu onların adına indirir” diye yazdı West.
Yürütülebilir dosya, proxyjacking sürecini işlemek için bir Docker kapsayıcısı kurmak üzere düğümde çalışan tüm kapları iptal eder ve her şey yerine oturduğunda, saldırgan iz bırakmadan ağdan çıkabilir.
Proxyjacking’e Karşı Nasıl Savunma Yaparsınız?
Saldırganların proxyjacking saldırılarının artan yaygınlığı ve göreceli kolaylığı ve asıl faillerin tespit edilememesi nedeniyle, kuruluşların, tehlikeye atılmaktan kaçınmak için kaynaklarının nasıl kullanıldığına ilişkin anormal davranışları fark etmek için ağlarında tetikte olmaları gerekir. , araştırmacılar tavsiye ediyor.
Akamai ekibinin gözlemlediği özel saldırı için, saldırganlar bir sunucuya erişim sağlamak ve bir Docker kapsayıcısı kurmak için SSH’yi kullandı. Akamai’ye göre, bu tür bir saldırıdan kaçınmak için kuruluşlar, sistemi paylaşan istenmeyen kaynakları bulmak için yerel olarak çalışan Docker hizmetlerini kontrol edebilir. Bir tane bulurlarsa, izinsiz giriş araştırılmalı ve komut dosyasının nasıl yüklenip çalıştırıldığı belirlenmeli ve ardından kuruluşlar kapsamlı bir temizlik yapmalıdır.
Saldırıya özgü olan bir başka şey de, cURL aracı biçimindeki yürütülebilir dosyanın, bu araç yasal olarak kullanılabileceğinden, çoğu şirket tarafından muhtemelen gözden kaçmasıdır. Ancak West, bu durumda, araştırmacıları daha derin araştırmaya yönlendiren şeyin saldırıdaki ilk eser olduğunu söyledi.
“Onu zararsız bir kod parçasından, şimdi bir proxyjacking planının parçası olduğunu bildiğimiz şeye götüren, eserin kaynağına bakma yeteneğiydi,” diye açıkladı, “olağandışı her şeyi izole edebilmenin önemini vurguluyor. eserler, yalnızca kötü niyetli olarak kabul edilenler değil.”
Ayrıca, proxyjacking saldırganları saldırılar düzenlemek için güvenlik açıklarını da kullandığından, kötü şöhretli Log4j kusurundan yararlanan yakın tarihli bir saldırıda durum buydu. — Araştırmaya göre kuruluşlar, özellikle güvenlik açıklarından zaten yararlanılmışsa, güncellenmiş varlıkları sürdürmeli ve mümkün olduğunda uygulamalara yamalar uygulamalıdır.
West şunları ekledi: “Bilgisayar güvenliği konusunda daha derin bilgiye sahip olan kullanıcılar, halihazırda çalışmakta olan kaplara dikkat ederek, ağ trafiğini anormallikler için izleyerek ve hatta düzenli olarak güvenlik açığı taramaları çalıştırarak ek olarak tetikte kalabilirler.”