Proxyjacking, bant genişliğinizin suçlular tarafından satıldığı bir siber suçtur.
Akamai’deki bir araştırmacı, suçluların bant genişliğinizi üçüncü taraf bir proxy hizmetine sattığı endişe verici yeni bir trend olan vekil hırsızlığı hakkında bir blog yayınladı.
Proxyjacking’in nasıl çalıştığını anlamak için birkaç şeyi açıklamamız gerekecek.
Kullanıcılara fazla İnternet bant genişliklerini paylaşmaları için ödeme yapan Peer2Profit ve HoneyGain gibi birkaç meşru hizmet vardır. Katılımcılar, sistemlerini hizmetin proxy ağına ekleyen yazılımı yükler. Proxy hizmetinin müşterilerinin trafikleri, katılımcıların sistemleri üzerinden yönlendirilir.
Proxyjacking sorununun temeli, bu hizmetlerin paylaşılan bant genişliğinin nereden geldiğini kontrol etmemesi gerçeğinde yatmaktadır. Peer2Profit ve Honeygain, proxy’lerini yalnızca teorik olarak incelenmiş ortaklarla paylaştıklarını iddia ediyor, ancak Akamai’nin araştırmasına göre, bant genişliğini sunan kişinin gerçek sahip olup olmadığını kontrol etmiyorlar.
Proxy’ler ve çalınan bant genişliği, trafiklerini anonimleştirmelerine izin verdiği için siber suçlular arasında her zaman popüler olmuştur. Bu kampanyayla ilgili yeni olan şey, aynı suçluların artık güvenliği ihlal edilmiş sistemlerin bant genişliğini basitçe kullanmak yerine para kazanmak için “kiralıyor” olmasıdır.
Araştırmacı, bir saldırganın Cowrie bal küplerinden birine birden fazla SSH (Güvenli Kabuk) bağlantısı kurduğunu fark ettiğinde kampanyadan haberdar oldu. Cowrie, kaba kuvvet saldırılarını ve saldırgan tarafından gerçekleştirilen kabuk etkileşimini günlüğe kaydetmek için tasarlanmış orta ila yüksek etkileşimli bir SSH ve Telnet bal küpüdür. Python’da bir UNIX sistemini taklit etmek veya saldırganın başka bir sisteme davranışını gözlemlemek için bir SSH ve telnet proxy’si olarak işlev görmek için kullanılabilir.
Suçlular için saldırının güzelliği, çoğunlukla dosyasız olması ve fiilen kullanılan dosyaların, curl ve vekil para kazanma hizmetleri Peer2Profit ve Honeygain için halka açık Docker görüntülerinin yasal olması ve kötü amaçlı yazılımdan koruma çözümleri tarafından algılanmayacak olmasıdır.
Proxyjacking’in tespit edilme olasılığı cryptojacking’e göre çok daha düşüktür, çünkü yalnızca minimum CPU döngüsü gerektirir ve fazladan İnternet bant genişliği kullanır. İlginçtir ki, araştırmacılar, güvenliği ihlal edilmiş dağıtım sunucusunun ayrıca bir kripto madenciliği yardımcı programının yanı sıra diğer birçok açıktan yararlanma ve yaygın bilgisayar korsanlığı araçları içerdiğini keşfetti.
Koruma
Görünüşte meşru olan bu hizmetler suçlular tarafından hem faaliyetlerini anonimleştirmek hem de başkalarının kaynaklarını satmak için kullanılabildiğinden, bunların tamamen ortadan kalkmasını tercih ederiz, ancak en azından müşterilerinin ve katılımcılarının doğrulamasını iyileştirmeleri gerekir.
Ev kullanıcıları kendilerini proxy hırsızlığından şu şekilde koruyabilirler:
Kurumsal kullanıcılar şunları ekleyebilir:
- Anormallikler için ağ trafiğini izleyin
- Çalışan kapsayıcılı uygulamaları takip edin.
- Parolalar yerine SSH için anahtar tabanlı kimlik doğrulamayı kullanma
Akamai ekledi:
“Bu özel kampanyada, bir sunucuya erişim elde etmek ve bir Docker kapsayıcısı kurmak için SSH kullanıldığını gördük, ancak geçmiş kampanyalar da web güvenlik açıklarından yararlandı. Çalışan yerel Docker hizmetlerinizi kontrol eder ve sisteminizde herhangi bir istenmeyen kaynak paylaşımı bulursanız, izinsiz girişi araştırmalı, komut dosyasının nasıl yüklenip çalıştırıldığını belirlemeli ve kapsamlı bir temizlik gerçekleştirmelisiniz.”
Sürekli izleme için zamanınız ve kaynaklarınız yoksa, Malwarebytes Yönetilen Tespit ve Müdahale (MDR) sunabilir. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Temasta olmak.
ŞİMDİ DENE