Търсене
Close this search box.

SSH сървърите са засегнати от проксиджакинг

Заплахите използват уязвими сървъри с протокол за защитен шел (SSH), за да стартират услуги на Docker, които се възползват от нов и доходоносен вектор на атака, при който мрежовата честотна лента на жертвата се превзема срещу пари.

Изследователи от екипа за разузнаване на сигурността на Akamai (SIRT) през юни са открили активната в момента кампания, която използва нов вид атака, наречена проксиджакинг, разкриха изследователите в публикация в блога си миналата седмица.

Заплахите използват SSH за отдалечен достъп и след това изпълняват злонамерени скриптове, които включват сървърите на жертвите в легитимна прокси мрежа от типа peer-to-peer (P2P), като Peer2Proxy или Honeygain, без тяхното знание, казват изследователите. Тези мрежи – които използват съпътстващи приложения или софтуер, инсталирани на свързани с интернет устройства – позволяват на някого да споделя интернет честотната лента, като плаща за използването на IP адреса на потребителите на приложението.

„Това позволява на атакуващия да монетизира допълнителната честотна лента на нищо неподозиращата жертва, само с част от натоварването на ресурсите, което би било необходимо за криптодобив, с по-малък шанс за разкриване“, пише в публикацията Алън Уест, изследовател по сигурността от SIRT.

Накратко, това е проксиджакингът – нововъзникващ модел на атака, който се възползва от тези услуги и в голям мащаб потенциално може да донесе на киберпрестъпниците стотици хиляди долари месечно под формата на пасивен доход, установяват изследователите.

 

Въпреки че идеята за проксиджакинг не е нова – спомнете си за криптоджакинга, който е напълно незаконно начинание, като далечен братовчед – възможността за лесно печелене на пари от нечия честотна лента като филиали на основни компании е нова, което обяснява защо изследователите по сигурността виждат повече проксиджакинг в пейзажа на заплахите – предупреди Уест.

„Осигуряването на прост път към финансова печалба превръща този вектор в заплаха както за корпоративния свят, така и за обикновения потребител, което засилва необходимостта от осведоменост и, надяваме се, от смекчаване на последиците“, пише той.

Според изследването проксиджакингът също така улеснява хакерите да скрият следите си, като насочват злонамерения трафик през множество равностойни възли, преди да достигне крайната си дестинация. Това затруднява установяването на произхода на злонамерената дейност от страна на жертвите или изследователите – още една привлекателна възможност за нападателите, които искат да печелят от дейността си без последствия.

Как работи атаката

Първата индикация за атаката, която изследователите на Akamai идентифицираха, дойде, когато нападателят установи множество SSH връзки към един от honeypot-ите на компанията, използвайки двоен Base64-енкодиран Bash скрипт, за да прикрие дейността. Те успешно декодираха скрипта и успяха да наблюдават метода на проксиджакинг на заплахата до точната последователност на операциите.

Скриптът трансформира компрометираната система във възел в прокси мрежата Peer2Profit, като използва акаунта, посочен от $PACCT, като партньор, който ще печели от споделената честотна лента, според Akamai SIRT. Същият процес е видян да се използва за инсталация на Honeygain малко по-късно.

„Скриптът е проектиран така, че да бъде скрит и надежден, като се опитва да работи независимо от софтуера, инсталиран на хост системата“, пише Уест.

Скриптът изпълнява различни функции, една от които е да изтегли действителна, немодифицирана версия на cURL – инструмент за команден ред, който позволява обмен на данни между устройство и сървър чрез терминал.

Изглежда, че този инструмент е всичко, от което се нуждаят нападателите, за да работи схемата, и „ако той не присъства на хоста на жертвата, тогава нападателят го изтегля от нейно име“, пише West.

Изпълнимият файл отменя всички контейнери, работещи на възела, за да инсталира контейнер Docker, който да се справи с процеса на проксиджакинг, и след като всичко е готово, нападателят може да напусне мрежата без следа.

Как да се защитите от проксиджакинг?

Поради все по-широкото разпространение и относителната лекота, с която нападателите могат да организират proxyjacking атаки, и невъзможността да се идентифицират първоначалните извършители, организациите трябва да поддържат бдителност в своите мрежи, така че да забелязват необичайно поведение в начина, по който се използват техните ресурси, за да избегнат компрометиране, препоръчват изследователите.

При конкретната атака, която екипът на Akamai е наблюдавал, нападателите са използвали SSH, за да получат достъп до сървър и да инсталират контейнер Docker. За да избегнат този тип атаки, организациите могат да проверят локално изпълняваните си услуги Docker, за да открият всеки нежелан ресурс, споделящ системата, според Akamai. Ако открият такъв, трябва да се разследва проникването и да се установи как е бил качен и стартиран скриптът, след което организациите трябва да извършат цялостно почистване.

Уникално за атаката е и това, че изпълнимият файл под формата на инструмента cURL вероятно ще остане незабелязан от повечето компании, тъй като този инструмент може да се използва законно. В този случай обаче именно първоначалният артефакт в атаката е накарал изследователите да проведат по-задълбочено разследване, казва Уест.

„Възможността да разгледаме източника на артефакта го превърна от безобидно парче код в това, което сега знаем, че е част от схема за проксиджакинг“, обясни той, което „подчертава важността на това да можем да изолираме всички необичайни артефакти, а не само тези, които се считат за злонамерени“.

Освен това, тъй като нападателите, извършващи проксиджакинг, също използват уязвимости, за да организират атаки – такъв беше случаят при неотдавнашна атака, която използваше известния недостатък Log4j – организациите трябва да поддържат актуализирани активи и да прилагат кръпки на приложенията, когато има такива, особено когато уязвимостите вече са били използвани, препоръчва изследването.

Уест добави: „Потребителите с по-задълбочени познания в областта на компютърната сигурност могат допълнително да останат бдителни, като обръщат внимание на работещите в момента контейнери, наблюдават мрежовия трафик за аномалии и дори редовно извършват сканиране на уязвимостите.“

Източник: DARKReading

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
20/07/2024

Akira Ransomware: Светкавич...

Изнудвачите от Akira вече са способни...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!