Les adversaires piratent les serveurs Microsoft SQL pour installer du proxyware et voler de la bande passante
Table des matières :
Les analystes de sécurité signalent un nombre croissant de cas d’abus adversaires de logiciels appelés « proxyware ». Les utilisateurs peuvent installer des proxyware (opérés via l’application client) et devenir donneurs de bande passante en partageant leur connexion Internet via des services comme Peer2Profit et IPRoyal. Les hôtes, incités par des récompenses monétaires, permettent à d’autres utilisateurs d’accéder au web depuis leur emplacement pour diverses fins.
Les acteurs malveillants téléchargent et exécutent illégalement des proxyware sur des systèmes compromis, volant la bande passante réseau des victimes à des fins de gain financier. Actuellement, il y a de plus en plus de preuves que des hackers criminels ciblent les serveurs MS-SQL vulnérables, utilisent des bundles d’adware et propagent des logiciels malveillants pour convertir les machines piratées en proxies.
Détection des Programmes Proxyware Illégaux
Détectez si votre système a été infecté par un proxyware en utilisant une règle Sigma publiée par un prolifique Programme de Récompense des Menaces développeur Onur Atali. La détection identifie les noms de fichiers de logiciels malveillants utilisés par le malware Proxyware :
Détection des Outils de Proxyware Attacker (via file_event)
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake et Open Distro.
La règle est mappée sur le cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution avec Interpréteur de Commandes et Script (T1059), Exécution par l’Utilisateur (T1204) comme techniques principales.
Les entreprises ont besoin de solutions précises, basées sur l’exposition, qui tranchent dans le bruit, identifient les véritables menaces sécuritaires et permettent des solutions pratiques et rentables. Tout cela et plus encore est disponible pour les utilisateurs enregistrés de la plateforme SOC Prime. Appuyez sur le bouton Détecter & Chasser pour explorer plus de 200 000 détections soigneusement sélectionnées et vérifiées. Les utilisateurs non enregistrés peuvent accéder au proxyware kit de règles dédié et métadonnées contextuelles pertinentes en appuyant sur le bouton Explorer le Contexte des Menaces .
Détecter & Chasser Explorer le Contexte des Menaces
Analyse de l’Infection par Proxyware
The L’équipe d’analyse ASEC a révélé des adversaires qui ont réussi à adopter une méthode moins courante pour générer des revenus. Les chercheurs ont identifié des logiciels malveillants qui permettent aux hackers criminels de détourner des appareils, les utilisant comme proxies sans que les hôtes en aient connaissance. Les acteurs malveillants exécutent du proxyware pour permettre aux utilisateurs distants de tirer parti des ressources de la machine infectée pour diverses tâches, les attaquants recevant leur profit via les services Peer2Profit et IPRoyal. Cette approche de détournement est similaire à celle du crypto mining.
minage de crypto-monnaie illégal. Détectez les intrusions et résistez aux cyberattaques avec une meilleure efficacité et rapidité fournies par la plateforme Détection en tant que Code de SOC Prime.Chassez les menaces dans votre environnement de sécurité et améliorez la couverture des sources de journaux et du cadre MITRE ATT&CK pour porter votre défense à un niveau supérieur.
