Gegner hacken Microsoft SQL-Server, um Proxyware zu installieren und Bandbreite zu stehlen
Inhaltsverzeichnis:
Sicherheitsanalysten berichten von einer zunehmenden Anzahl von Fällen, in denen Softwaremissbrauch von sogenannten ‚Proxyware‘ durch Gegner stattfindet. Benutzer können Proxyware installieren (betrieben über die Client-Anwendung) und zu Bandbreitenspendern werden, indem sie ihre Internetverbindung über Dienste wie Peer2Profit und IPRoyal teilen. Die Hosts, die mit monetären Belohnungen incentiviert werden, ermöglichen es anderen Benutzern, aus ihrer Location aus auf das Internet zuzugreifen, um verschiedene Zwecke zu erfüllen.
Bedrohungsakteure laden illegal Proxyware auf kompromittierte Systeme herunter und führen sie aus, wobei sie die Netzwerkbandbreite der Opfer stehlen, um finanziellen Gewinn zu erzielen. Derzeit gibt es zunehmende Beweise dafür, dass kriminelle Hacker gezielt anfällige MS-SQL-Server angreifen, Adware-Bundles verwenden und Malware verbreiten, um gehackte Maschinen in Proxys zu verwandeln.
Erkennung illegaler Proxyware-Programme
Erkennen Sie, ob Ihr System mit Proxyware infiziert wurde, indem Sie eine von einem produktiven Threat-Bounty-Programm entwickelte Sigma-Regel verwenden Onur Atali. Die Erkennung identifiziert die Dateinamen der Malware, die von der Proxyware-Malware verwendet werden:
Proxyware-Angreifer-Tool-Erkennung (via file_event)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake und Open Distro.
Die Regel wird dem MITRE ATT&CK®-Framework v.10 zugeordnet, das die Taktik ‚Execution‘ mit ‚Command and Scripting Interpreter‘ (T1059) und ‚User Execution‘ (T1204) als primäre Techniken anspricht.
Unternehmen benötigen präzise, exponierungsbasierte Lösungen, die den Lärm durchdringen, die echten Sicherheitsbedrohungen identifizieren und praktische, kosteneffektive Lösungen ermöglichen. All dies und mehr steht den registrierten Nutzern der SOC Prime Plattform zur Verfügung. Drücken Sie den Detect & Hunt -Button, um über 200.000 gründlich kuratierte und verifizierte Erkennungen zu erkunden. Nicht registrierte Nutzer können auf das Proxyware dedizierte Regelkit und relevante kontextuelle Metadaten zugreifen, indem sie den Explore Threat Context -Button drücken.
Detect & Hunt Explore Threat Context
Analyse der Proxyware-Infektion
The Das ASEC-Analyse-Team enthüllte Gegner, die erfolgreich eine weniger verbreitete Methode zur Generierung von Einnahmen anwenden. Die Forscher identifizierten Malware, die es kriminellen Hackern ermöglicht, Geräte zu kapern, indem sie diese ohne Wissen der Hosts als Proxys nutzen. Bedrohungsakteure führen Proxyware aus, um es entfernten Benutzern zu ermöglichen, die Ressourcen der infizierten Maschine für verschiedene Aufgaben zu nutzen, wobei Angreifer ihre Gewinne über Peer2Profit und IPRoyal-Dienste erhalten. Dieser Kaperversuch ist ähnlich dem illegalen Kryptomining.
Erkennen Sie Eindringlinge und halten Sie Cyberangriffe mit besserer Effizienz und Geschwindigkeit ab, bereitgestellt durch SOC Primes Detection as Code-Plattform. Suchen Sie in Ihrer Sicherheitsumgebung nach Bedrohungen und verbessern Sie die Protokollquelle und die MITRE ATT&CK-Abdeckung, um Ihre Verteidigung auf die nächste Stufe zu heben.
