Заплахите използват уязвими сървъри с протокол за защитен шел (SSH), за да стартират услуги на Docker, които се възползват от нов и доходоносен вектор на атака, при който мрежовата честотна лента на жертвата се превзема срещу пари.
Изследователи от екипа за разузнаване на сигурността на Akamai (SIRT) през юни са открили активната в момента кампания, която използва нов вид атака, наречена проксиджакинг, разкриха изследователите в публикация в блога си миналата седмица.
Заплахите използват SSH за отдалечен достъп и след това изпълняват злонамерени скриптове, които включват сървърите на жертвите в легитимна прокси мрежа от типа peer-to-peer (P2P), като Peer2Proxy или Honeygain, без тяхното знание, казват изследователите. Тези мрежи – които използват съпътстващи приложения или софтуер, инсталирани на свързани с интернет устройства – позволяват на някого да споделя интернет честотната лента, като плаща за използването на IP адреса на потребителите на приложението.
„Това позволява на атакуващия да монетизира допълнителната честотна лента на нищо неподозиращата жертва, само с част от натоварването на ресурсите, което би било необходимо за криптодобив, с по-малък шанс за разкриване“, пише в публикацията Алън Уест, изследовател по сигурността от SIRT.
Накратко, това е проксиджакингът – нововъзникващ модел на атака, който се възползва от тези услуги и в голям мащаб потенциално може да донесе на киберпрестъпниците стотици хиляди долари месечно под формата на пасивен доход, установяват изследователите.
Въпреки че идеята за проксиджакинг не е нова – спомнете си за криптоджакинга, който е напълно незаконно начинание, като далечен братовчед – възможността за лесно печелене на пари от нечия честотна лента като филиали на основни компании е нова, което обяснява защо изследователите по сигурността виждат повече проксиджакинг в пейзажа на заплахите – предупреди Уест.
„Осигуряването на прост път към финансова печалба превръща този вектор в заплаха както за корпоративния свят, така и за обикновения потребител, което засилва необходимостта от осведоменост и, надяваме се, от смекчаване на последиците“, пише той.
Според изследването проксиджакингът също така улеснява хакерите да скрият следите си, като насочват злонамерения трафик през множество равностойни възли, преди да достигне крайната си дестинация. Това затруднява установяването на произхода на злонамерената дейност от страна на жертвите или изследователите – още една привлекателна възможност за нападателите, които искат да печелят от дейността си без последствия.
Първата индикация за атаката, която изследователите на Akamai идентифицираха, дойде, когато нападателят установи множество SSH връзки към един от honeypot-ите на компанията, използвайки двоен Base64-енкодиран Bash скрипт, за да прикрие дейността. Те успешно декодираха скрипта и успяха да наблюдават метода на проксиджакинг на заплахата до точната последователност на операциите.
Скриптът трансформира компрометираната система във възел в прокси мрежата Peer2Profit, като използва акаунта, посочен от $PACCT, като партньор, който ще печели от споделената честотна лента, според Akamai SIRT. Същият процес е видян да се използва за инсталация на Honeygain малко по-късно.
„Скриптът е проектиран така, че да бъде скрит и надежден, като се опитва да работи независимо от софтуера, инсталиран на хост системата“, пише Уест.
Скриптът изпълнява различни функции, една от които е да изтегли действителна, немодифицирана версия на cURL – инструмент за команден ред, който позволява обмен на данни между устройство и сървър чрез терминал.
Изглежда, че този инструмент е всичко, от което се нуждаят нападателите, за да работи схемата, и „ако той не присъства на хоста на жертвата, тогава нападателят го изтегля от нейно име“, пише West.
Изпълнимият файл отменя всички контейнери, работещи на възела, за да инсталира контейнер Docker, който да се справи с процеса на проксиджакинг, и след като всичко е готово, нападателят може да напусне мрежата без следа.
Поради все по-широкото разпространение и относителната лекота, с която нападателите могат да организират proxyjacking атаки, и невъзможността да се идентифицират първоначалните извършители, организациите трябва да поддържат бдителност в своите мрежи, така че да забелязват необичайно поведение в начина, по който се използват техните ресурси, за да избегнат компрометиране, препоръчват изследователите.
При конкретната атака, която екипът на Akamai е наблюдавал, нападателите са използвали SSH, за да получат достъп до сървър и да инсталират контейнер Docker. За да избегнат този тип атаки, организациите могат да проверят локално изпълняваните си услуги Docker, за да открият всеки нежелан ресурс, споделящ системата, според Akamai. Ако открият такъв, трябва да се разследва проникването и да се установи как е бил качен и стартиран скриптът, след което организациите трябва да извършат цялостно почистване.
Уникално за атаката е и това, че изпълнимият файл под формата на инструмента cURL вероятно ще остане незабелязан от повечето компании, тъй като този инструмент може да се използва законно. В този случай обаче именно първоначалният артефакт в атаката е накарал изследователите да проведат по-задълбочено разследване, казва Уест.
„Възможността да разгледаме източника на артефакта го превърна от безобидно парче код в това, което сега знаем, че е част от схема за проксиджакинг“, обясни той, което „подчертава важността на това да можем да изолираме всички необичайни артефакти, а не само тези, които се считат за злонамерени“.
Освен това, тъй като нападателите, извършващи проксиджакинг, също използват уязвимости, за да организират атаки – такъв беше случаят при неотдавнашна атака, която използваше известния недостатък Log4j – организациите трябва да поддържат актуализирани активи и да прилагат кръпки на приложенията, когато има такива, особено когато уязвимостите вече са били използвани, препоръчва изследването.
Уест добави: „Потребителите с по-задълбочени познания в областта на компютърната сигурност могат допълнително да останат бдителни, като обръщат внимание на работещите в момента контейнери, наблюдават мрежовия трафик за аномалии и дори редовно извършват сканиране на уязвимостите.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
