隐秘的角落--代理劫持

    只说国外，知道吗，只需让应用程序在您的家用电脑和手机上运行，您就可以毫不费力地赚取小额被动收入？它允许其他人（向代理服务提供商付费）借用您的互联网协议 (IP) 地址，例如观看所在地区不可用的YouTube视频、进行不受限制的网络抓取和冲浪，或浏览可疑网站而无需将活动归因于他们自己的 IP。像所有事情一样，恶意行为者可以利用。在这种情况下，他们可以在您不知情的情况下代表您出售带宽，为每台受感染的设备每月赚取 10 美元，同时让您承担额外的成本和风险。

    Sysdig 的威胁研究团队 (TRT) 检测到一种名为代理劫持的新攻击，它利用Log4j 漏洞进行初始访问。然后，攻击者将受害者的 IP 地址出售给代理软件服务以牟利。虽然 Log4j 攻击很常见，但在这种情况下使用的负载很少见。与典型的加密劫持或后门有效载荷不同，我们目睹了攻击者安装了一个代理，该代理将受感染的帐户转变为代理服务器，从而允许攻击者将 IP 出售给代理软件服务并收取利润。

什么是代理劫持？

    代理劫持是近几年代理软件服务的增长和使用带来的一种新现象。代理软件服务是一种完全合法且非恶意的应用程序或软件，您可以将其安装在联网设备上。当您运行它时，您与付费使用您的 IP 地址的其他人共享您的互联网带宽。IPRoyal、Honeygain、Peer2Profit 等这些服务根据您运行应用程序的小时数为您共享的每个 IP 地址付费。

    这些服务已被用于Cisco Talos Intelligence Group和AhnLab Security Emergency response Center (ASEC)先前报告的广告软件攻击中。代理软件服务使用户能够通过与他人共享互联网连接来赚钱。正如 Cisco Talos 在其博客文章中所解释的那样，攻击者“正在利用这些平台从受害者的互联网带宽中获利，类似于恶意加密货币挖掘试图通过受感染系统的 CPU 算力获利。”

    IPRoyal工具将自己定义为一个声称“100% 安全来源的 IP”的全球代理网络，这描述说明他们不会买卖可能通过使用盗取或伪造的 IP。我们可以假设这也意味着他们有某种审查程序来确保没有被代理劫持。IPRoyal 的代理网络包括通过代理软件服务 pawns.app 共享的 IP。

    Sysdig TRT 发现基于捕获的蜜罐攻击的代理，并决定对IPRoyal工具和其他代理软件服务进行测试，看看代理劫持是否真的可以成为恶意行为者的一种收入手段。

代理劫持的盈利

    从广义上讲，此活动可以为攻击者提供丰厚的收入。根据 pawns.app 的利润规模，一个 IP 地址 24 小时的活动每月净赚 9.60 美元。虽然 Pawns 会进行检查以确保用户没有出售像 EC2 这样的云实例，但 Peer2Profit 没有相同的限制。

图片来自 pawns.app

    如前所述，攻击者通过利用 Log4j 漏洞获得了初始访问权限。数以百万计的系统仍在运行易受攻击的 Log4j 版本，据Censys称，其中超过 23,000 个可以通过互联网访问。Log4j 并不是部署代理劫持恶意软件的唯一攻击媒介，但仅此漏洞在理论上就可以提供每月超过 220,000 美元的利润。更保守地说，100 个 IP 的适度妥协将使每月获得近 1,000 美元的被动收入。

图片来自 censys.io

    虽然 Pawns 和 IPRoyal 对他们将购买和共享的 IP 类型有限制，但其他代理软件服务（例如 Peer2Profit）则没有。我们发现 Pawns 应用程序无法在 EC2 或 OVHCloud IP 上正常运行，因为它们将客户端限制为归类为住宅的 IP 地址。我们相信 Pawns 正在使用像 ip2location[.]com 这样的服务在新代理人尝试注册时进行分类。这可能是仁慈的，但更有可能是因为住宅 IP 地址被认为比云虚拟专用服务器更值得信赖（并且更受欢迎）。

    Sysdig TRT 确实确认 Peer2Profit 将在服务器/数据中心 IP 上运行，例如 AWS EC2。这在他们网站上的常见问题解答中有详细说明，确认他们的软件也可以在虚拟机上运行。他们甚至提供了一个 Docker 容器来实现毫不费力的执行。Peer2Profit 代理也被编译为在 ARM 系统上运行，该公司提供了在 Raspberry Pi 等系统上运行的示例。其中一些代理软件服务还推销了移动代理服务器的可用性，并在市场上推出了 Android 应用程序。

加密货币挖矿与代理劫持

    Cryptojacking是未经授权使用计算机或设备来挖掘加密货币。在最常见的形式中，攻击者安装基于 CPU 的矿工，以便从受感染的系统中提取最大价值（这些系统很少连接图形处理单元 [GPU]，这使得更常见的基于 GPU 的矿工已经过时）。代理劫持，如本文所定义，是加密劫持的陪衬，因为它主要旨在利用网络资源，留下最少的 CPU 占用空间。

    cryptojacking 和 proxyjacking 都可以让攻击者每月获得大约相同数额的金钱——以当前的加密货币汇率和代理软件支付，proxyjacking 甚至可能更有利可图。然而，几乎每一款监控软件都会将 CPU 使用率作为首要（当然也是最重要的）指标之一。代理劫持对系统的影响微乎其微：分布在一个月内的 1 GB 网络流量相当于每天数十兆字节——很可能不会引起注意。

已知的攻击媒介

    在 Sysdig TRT 发现的代理劫持攻击中，攻击者以 Kubernetes 基础设施为目标，特别是未打补丁的 Apache Solr 服务，以控制容器并继续他们的活动。让我们更深入地研究捕获的攻击的每个步骤。

初始访问 (CVE-2021-44228) 和执行

    攻击者利用 Apache Solr 应用程序中存在的臭名昭著的 Log4j 漏洞 (CVE-2021-44228) 获得了对容器的初始访问权限。众所周知，针对该漏洞远程执行受害机器内部代码的公开攻击有很多。攻击者执行了下面的命令，这样他们就可以从攻击者的命令和控制中下载恶意脚本，并将其放在文件夹中/tmp，以便获得执行该操作的权限。

    下面是执行的脚本，以及攻击者在受感染的 pod 中执行的命令

    攻击者的第一次执行是下载一个重命名为 的 ELF 文件/tmp/p32，然后使用一些参数执行该文件，包括电子邮件地址magyber1980@gmail [.]com 和他们的 pawns.app 帐户的相关密码。

    在分析报告的恶意脚本中下载和执行的二进制文件时，Sysdig TRT 将其与来自GitHub的 IPRoyal Pawns 应用程序的命令行界面版本相关联，后者在输入中使用相同的参数。

    从这一点开始，攻击者达到了从受感染的 pod 中赚钱的主要目标。很容易，不是吗？

防御闪避和持久性

    一旦攻击者运行恶意二进制文件并开始赚取资金，他们就会执行命令来逃避检测并实现持久化。

    他们通过清除历史记录并删除他们放入容器中的文件和临时文件来清理受损的 pod。以下是攻击期间修改或删除的文件列表。

文件	行动
/run/crond.pid	修改
/proc/self/loginuid	修改
/var/spool/cron/crontabs/tmp.WdWUdr	删除
/tmp/b	新增
/tmp/tmpfeo2Ew4	删除
/tmp/c	新增
/var/spool/cron/crontabs/tmp.4YwEf2	删除
/tmp/p32	新增
/var/spool/cron/crontabs/root	新的
/run/crond.reboot	修改

    在掩盖他们的踪迹后，攻击者在受感染的 pod 内执行了持续的操作。正如经常发生的那样，攻击者用于crontab安排前面提到的脚本的下载和执行命令。这样，命令每10分钟执行一次；如果发生什么事情或进程被杀死，它会自动重新开始执行。

容器供应链

    众所周知，容器是在我们的基础设施中轻松运送和部署代码的好方法。攻击者还可以利用容器在受感染的环境中部署恶意代码，以赚钱并实现他们的目标。

    像 DockerHub 这样的服务提供了对公共开源镜像存储库的访问，每个用户都可以创建自己的私有存储库来存储个人镜像。正如我们在2022 年威胁报告中指出的那样，DockerHub 也被攻击者使用，希望用户在他们的基础设施上下载并运行这些镜像。安装的恶意软件可以是任何东西，从加密矿工到后门，再到自动泄露数据的工具。

    我们在代理劫持研究中看到的威胁之一是在容器镜像中使用代理软件服务。这些是我们发现的一些 Dockerhub 图像，这些图像要么有大量下载，要么有混淆的图像名称。这不是一个详尽的列表，因为可能会伪装其他图像。

图片名称	下载
enwaax/peer2profit	>500,000
fazalfarhan01/peer2profit:latest	>1000万
peer2profit/peer2profit_linux	>100,000
jujudna/peer2profit	3,700
gqkkk/p2p	358
enwaiax/phpcoin-miner	220
computeofficial/pawnsapp	346

影响

    代理劫持攻击可能被低估为滋扰性恶意软件，而不是像加密挖矿那样的严重威胁。正如我们在SCARLETEEL分析中所报告的那样，虽然此类攻击可能不会直接导致数据破坏或知识产权被盗，但两者都可能是间接结果。

    代理劫持攻击可能以两种方式对组织产生负面影响：

财务

    代理劫持与密码劫持非常相似，都会给受害者带来财务成本。对于在云服务提供商 (CSP) 上运行的服务，可以计量这些财务成本。例如，AWS 根据路由器通过互联网出站的流量收费。对于运行代理的每个实例，代理劫持的 IP 流量都来自入站和出站。代理还会消耗 CPU 和内存，这将进一步增加受害者的成本。

    因为每个 CSP 都有不同的计费方式，所以了解您在此类事件中可能受到的影响非常重要。虽然众所周知，CSP 会免除恶意软件产生的费用，但不能保证他们会继续这种做法。这种攻击，特别是如果在您的基础设施中广泛传播，可能会导致重大的财务负担。

声誉/法律

    无法保证如果您有意或无意地将您的互联网带宽出售给代理软件服务，它不会被用于恶意或非法活动。攻击者可以在攻击中轻松购买和使用您的共享互联网。许多恶意攻击者使用代理来混淆他们的命令和控制活动以及识别信息。根据Vista 刑法，IP 地址通常是调查的起点，IP 的主要所有者或用户通常不参与非法活动。通过代理软件服务提供的混淆，攻击现在似乎源自您的网络；您和您的网络现在可能会卷入执法调查。

结论

    对于威胁行为者来说，这是一种省力、高回报的攻击，可能会产生深远的影响。被报告用于代理劫持的代理软件服务列表目前还很少，但在适当的时候，攻击者会找到方法，而防御者会发现更多的恶意活动。Sysdig TRT 建议与您的 CSP 一起设置计费限制和警报，以避免收到可能令人震惊的财务账单。您还应该制定威胁检测规则，以便在您的网络上安装代理软件服务应用程序之前接收有关任何初始访问和有效payloads活动的警报。

____

IOCs

IP：

185[.]224[.]128[.]251

23[.]88[.]73[.]143

51[.]81[.]155[.]182

文件名	MD5 哈希
p32	6927833415c4879728707574c0849bfc
b	f10861ea968770effbd61cda573b6ff8
C	f10861ea968770effbd61cda573b6ff8

原文始发于微信公众号（军机故阁）：隐秘的角落--代理劫持