0
0
Os agentes de ameaças estão explorando servidores SSH (Secure Shell Protocol) vulneráveis para lançar serviços do Docker que aproveitam um vetor de ataque emergente e lucrativo que sequestra a largura de banda da rede de uma vítima por dinheiro.
Pesquisadores da Akamai Security Intelligence Response Team (SIRT) descobriram em junho a campanha atualmente ativa, que emprega um tipo emergente de ataque chamado proxyjacking, revelaram os pesquisadores em um post no blog na semana passada.
Os agentes de ameaças usam SSH para acesso remoto e, em seguida, executam scripts maliciosos que alistam servidores vítimas em uma rede proxy peer-to-peer (P2P) legítima, como Peer2Proxy ou Honeygain, sem seu conhecimento, disseram os pesquisadores. Essas redes — que usam aplicativos complementares ou software instalado em dispositivos conectados à Internet — permitem que alguém compartilhe a largura de banda da Internet pagando para usar o endereço IP dos usuários do aplicativo.
“Isso permite que o invasor monetize a largura de banda extra de uma vítima desavisada, com apenas uma fração da carga de recursos que seria necessária para a criptomineração, com menos chance de descoberta”, escreveu Allen West, pesquisador de segurança da SIRT, no post.
Em poucas palavras, isso é proxyjacking, um modelo de ataque emergente que tira proveito desses serviços e, em grande escala, potencialmente pode render aos cibercriminosos centenas de milhares de dólares por mês em renda passiva, descobriram os pesquisadores.
Embora a ideia de proxyjacking não seja nova – pense no cryptojacking, um empreendimento totalmente ilegal, como um primo distante – a capacidade de monetizar facilmente pegando carona na largura de banda de alguém como afiliados de empresas tradicionais é nova, o que explica por que os pesquisadores de segurança estão vendo mais proxyjacking no cenário de ameaças, alertou West.
“Fornecer um caminho simples para o ganho financeiro torna esse vetor uma ameaça tanto para o mundo corporativo quanto para o consumidor médio, aumentando a necessidade de conscientização e, esperançosamente, mitigação”, escreveu.
O proxyjacking também torna mais fácil para os agentes de ameaças ocultarem seus rastros, roteando o tráfego malicioso através de uma infinidade de nós pares antes que ele chegue ao seu destino final, de acordo com a pesquisa. Isso torna a origem da atividade nefasta difícil de ser identificada por vítimas ou pesquisadores – outra opção atraente para invasores que buscam monetizar sua atividade sem consequências.
Como funciona o ataque
A primeira indicação do ataque que os pesquisadores da Akamai identificaram veio quando um invasor estabeleceu várias conexões SSH com um dos honeypots da empresa usando um script Bash codificado em Base64 para ocultar a atividade. Eles decodificaram com sucesso o script e foram capazes de observar o método de proxyjacking do agente de ameaça até a sequência exata de operações.
O script transformou o sistema comprometido em um nó na rede proxy Peer2Profit, usando a conta especificada por $PACCT como o afiliado que lucrará com a largura de banda compartilhada, de acordo com a Akamai SIRT. O mesmo processo foi visto sendo empregado para uma instalação do Honeygain algum tempo depois.
“O script foi projetado para ser furtivo e robusto, tentando operar independentemente do software instalado no sistema host”, escreveu West.
O script passa a executar várias funções, uma das quais é baixar uma versão real e não modificada do cURL, uma ferramenta de linha de comando que permite a troca de dados entre um dispositivo e um servidor através de um terminal.
Essa ferramenta parece ser tudo o que os invasores precisam para que o esquema funcione e, “se ela não estiver presente no host da vítima, o invasor a baixa em seu nome”, escreveu West.
O executável cancela todos os contêineres em execução no nó para instalar um contêiner do Docker para manipular o processo de proxyjacking e, quando tudo estiver no lugar, o invasor poderá sair da rede sem deixar rastreamento.
Como você se defende contra o proxyjacking?
Devido à crescente prevalência e à relativa facilidade com que os invasores podem configurar ataques de proxyjacking e à incapacidade de identificar os perpetradores originais, as organizações precisam manter a vigilância em suas redes para notar um comportamento anormal na forma como seus recursos estão sendo usados para evitar o comprometimento, recomendam os pesquisadores.
Para o ataque específico que a equipe da Akamai observou, os invasores usaram SSH para obter acesso a um servidor e instalar um contêiner do Docker. Para evitar esse tipo de ataque, as organizações podem verificar seus serviços do Docker executados localmente para localizar qualquer recurso indesejado que compartilhe o sistema, de acordo com a Akamai. Se eles encontrarem um, a intrusão deve ser investigada e uma determinação de como o script foi carregado e executado deve ser feita, após o que as organizações devem realizar uma limpeza completa.
Também exclusivo do ataque é que o executável na forma da ferramenta cURL provavelmente passaria despercebido pela maioria das empresas, uma vez que essa ferramenta pode ser usada legitimamente. No entanto, neste caso, foi o artefato inicial no ataque que levou os pesquisadores a investigar mais profundamente, disse West.
“Foi a capacidade de olhar para a origem do artefato que o levou de um pedaço de código inofensivo para o que agora sabemos que faz parte de um esquema de proxyjacking”, explicou, o que “destaca a importância de ser capaz de isolar todos os artefatos incomuns, não apenas aqueles que são considerados maliciosos”.
Além disso, como os invasores de proxyjacking também usam vulnerabilidades para montar ataques — que foi o caso de um ataque recente que alavancou a infame falha Log4j —, as organizações devem manter ativos atualizados e aplicar patches em aplicativos sempre que disponíveis, especialmente quando as vulnerabilidades já foram exploradas, recomenda a pesquisa.
West acrescentou: “Usuários com conhecimento mais profundo de segurança de computadores também podem permanecer vigilantes, prestando atenção aos contêineres atualmente em execução, monitorando o tráfego de rede em busca de anomalias e até mesmo executando varreduras de vulnerabilidade regularmente”.
FONTE: DARK READING