Tehdit aktörleri, insanların İnternet bant genişliklerinin bir kısmını üçüncü taraflara satmalarına olanak tanıyan yasal proxy yazılım hizmetlerini ele geçiren, kazançlı yeni bir saldırı vektörü buldu. Sysdig Tehdit Araştırma Ekibinden (TRT) araştırmacıların bulduğuna göre, bulut tabanlı sistemleri kullanan büyük ölçekli saldırılarda, siber suçlular “proxyjacking” olarak adlandırılan bu vektörü ayda potansiyel olarak yüzbinlerce dolar pasif gelir elde etmek için kullanabilir.
Şubat ayında yayınlanan bir blog gönderisinde, Kaspersky araştırmacıları proxyware hizmetlerini şu şekilde tanımladı: “[Users install a client that creates a] Proxy sunucu. Bir masaüstü bilgisayara veya akıllı telefona yüklendiğinde, cihazın İnternet bağlantısını bir dış taraf için erişilebilir hale getirir.” Bu dış taraf – proxyware hizmeti – daha sonra kullanıcının bant genişliğinin üzerinde anlaşmaya varılan bir kısmını diğer kişilere satar.
“Programın ne kadar süreyle etkin kaldığına ve ne kadar bant genişliği kullanmasına izin verildiğine bağlı olarak, müşteri puan biriktirir. [for the user] sonunda para birimine dönüştürülebilir ve bir banka hesabına aktarılabilir” diyor Kaspersky araştırmacılarına göre.
Sysdig araştırmacılarının gözlemlediği bir saldırıda, tehdit aktörlerinin Log4j güvenlik açığını kullanarak bir bulut ortamındaki bir konteynerin güvenliğini ihlal ettiğini ve ardından, konteyner sahibinin bilgisi olmadan sistemi bir proxy sunucusuna dönüştüren bir proxyware aracısı yüklediğini araştırmacılar bir blogda ortaya çıkardılar. 4 Nisan’da yayınla.
Bu, saldırganın olağandışı bir Log4j istismarı türünde “IP’yi bir proxy yazılım hizmetine satmasına ve karı toplamasına” izin verdi. Sysdig tehdit araştırma mühendisi Crystal Morin gönderide, Log4j saldırılarının genellikle bir aktörün arka kapı bırakmasını veya cihaza cryptojacking yükünü içerdiğini yazdı. “Log4j saldırıları yaygın olsa da, bu durumda kullanılan yük nadirdi” diye yazdı.
Morin, Proxyjacking’in kriptojacking’in özelliklerini paylaştığını çünkü her ikisinin de kurbanın bant genişliğinden yararlandığını ve her ikisinin de saldırgan için eşit derecede kârlı olduğunu söyledi. Bununla birlikte, bu saldırılar, saldırganların güvenliği ihlal edilmiş sistemlerden maksimum değer elde etmek için tipik olarak CPU tabanlı madencileri kurması, proxyjacking’in ise çoğunlukla ağ kaynaklarını kullanması ve minimum CPU ayak izi bırakmasıyla farklılık gösteriyor.
“Neredeyse her izleme yazılımı parçası, ilk (ve haklı olarak en önemli) ölçümlerden biri olarak CPU kullanımına sahip olacak” diye yazdı. “Proxyjacking’in sistem üzerindeki etkisi marjinal: Bir aya yayılmış 1 GB ağ trafiği, günde onlarca megabayttır – büyük olasılıkla fark edilmeyecektir.”
Proxyjacking Nasıl Çalışır?
Araştırmacılar, proxyjacking’in son birkaç yılda proxyware hizmetlerinin büyümesi ve kullanılmasıyla teşvik edilen nispeten yeni bir fenomen olduğunu söyledi. Belirtildiği gibi, IPRoyal, Honeygain ve Peer2Profit gibi bu hizmetler, İnternet’e bağlı cihazlara uygulamalar veya yazılımlar olarak yüklenir ve bu hizmetler çalışırken, uygulama kullanıcılarının IP adresini kullanmak için ödeme yaparak birisinin İnternet bant genişliğini paylaşmasına olanak tanır.
Proxy yazılımı, bölgelerinde bulunmayan bir YouTube videosunu izlemek, sınırsız Web’de gezinmek ve gezinmek veya etkinliği kendi IP’lerine atfetmeden şüpheli web sitelerinde gezinmek gibi etkinlikler için başka birinin IP adresini kullanmak isteyen kişiler için kullanışlıdır. dedi araştırmacılar. Hizmete göre, insanlar uygulamayı çalıştırdıkları saat sayısına göre birisinin proxyware aracılığıyla paylaştığı her IP adresi için ödeme yapıyor.
Sysdig araştırmacıları tarafından araştırılan saldırıda, saldırganlar ortamdaki bir container’ın kontrolünü ele geçirmek için Kubernetes altyapısında çalışan yama uygulanmamış bir Apache Solr hizmetini hedef aldı ve ardından bir komut-kontrol sunucusundan (C2) kötü amaçlı bir komut dosyası indirerek sunucuya yerleştirdi. etkinliklerini gerçekleştirmek için ayrıcalıklara sahip olmak için /tmp klasöründe.
“Saldırganın ilk yürütmesi, /tmp/p32 olarak yeniden adlandırılan bir ELF dosyasını indirmekti ve bu, daha sonra e-posta adresi de dahil olmak üzere bazı parametrelerle yürütüldü. [email protected][.]com ve piyonları.app hesapları için ilişkili şifre,” diye yazdı Morin gönderide.
Pawns.app, IPRoyal’ın proxy ağından IP’leri paylaştığı görülen bir proxyware hizmetidir. Araştırmacılar, gerçekten de Sysdig TRT’nin, kötü amaçlı komut dosyasında indirilen ve yürütülen ikili dosyayı, aynı parametreleri kullanan GitHub’dan IPRoyal Pawns uygulamasının komut satırı arayüzü sürümüyle ilişkilendirdiğini söyledi. Bu şekilde saldırganlar, hizmetten para kazanmak için ele geçirilen bölmeyi kullanmaya başladı.
Araştırmacılar, saldırganların, etkinliklerinin güvenliği ihlal edilmiş sistemini temizleyerek, geçmişi temizleyerek ve kaplara bıraktıkları dosyayı ve geçici dosyaları kaldırarak izlerini kapattığını da sözlerine ekledi.
Proxyjacking Saldırıları için Etki ve Azaltma
Morin, şu anda proxyjacking için kullanıldığı bildirilen proxyware hizmetlerinin listesi küçük olsa da, Sysdig araştırmacıları bu saldırı vektörünün büyümeye devam edeceğine ve sonunda “savunucuların daha hain faaliyetleri ortaya çıkaracağına” inanıyor. “Bu, tehdit aktörleri için düşük çaba gerektiren ve yüksek kazanç getiren bir saldırıdır ve geniş kapsamlı sonuçlar doğurma potansiyeline sahiptir.”
Araştırmacılar, bir proxy-jacked IP adresi için 24 saatlik etkinlikte bir saldırganın ayda 9,60 dolar kazanabileceğini tahmin ediyor. O zaman, örneğin 100 IP adresinin mütevazi bir uzlaşmasıyla, bir siber suçlunun bu faaliyetten ayda yaklaşık 1.000 ABD doları tutarında pasif gelir elde edebileceğini söylediler.
Araştırmacılar, Censys’e göre, Log4j’yi yama uygulanmamış sistemlerde kullanırken, milyonlarca sunucunun hala kayıt aracının savunmasız sürümlerini çalıştırdığından ve bunlardan 23.000’den fazlasına İnternet’ten erişilebildiğinden, bu rakam daha da yükselebilir. Morin, “Bu güvenlik açığı tek başına teorik olarak ayda 220.000 dolardan fazla kâr sağlayabilir” diye yazdı.
Araştırmacılar, proxyjacking faaliyeti nedeniyle “potansiyel olarak şok edici kullanım faturaları almaktan” kaçınmak için, kuruluşların potansiyel saldırıları azaltmak için harekete geçmeleri gerektiğini söyledi. Morin, kuruluşların ilgili bulut hizmeti kanıtlayıcılarıyla faturalandırma limitleri ve uyarılar oluşturmasını tavsiye ettiler; bu, bir şeylerin ters gittiğinin erken bir göstergesi olabilir, diye yazdı Morin.
Morin, kuruluşların, ağınıza bir proxy yazılımı hizmet uygulamasının yüklenmesinden önceki herhangi bir ilk erişim ve yük etkinliği hakkında uyarılar almak için yürürlükte tehdit algılama kurallarına sahip olmaları gerektiğini tavsiye etti.