Avversari Hackerano i Server Microsoft SQL per Installare Proxyware e Rubare Banda Larga
Indice:
Gli analisti di sicurezza riportano un numero crescente di casi di abuso avversario di software chiamato ‘proxyware’. Gli utenti possono installare proxyware (operato tramite l’applicazione client) e diventare donatori di larghezza di banda condividendo la loro connessione internet tramite servizi come Peer2Profit e IPRoyal. Gli host, incentivati con ricompense monetarie, permettono ad altri utenti di accedere al web dalla loro posizione per vari scopi.
Gli attori delle minacce scaricano e eseguono illecitamente proxyware su sistemi compromessi, rubando la larghezza di banda della rete delle vittime per ottenere guadagni finanziari. Attualmente ci sono crescenti evidenze che hacker criminali mirano a server MS-SQL vulnerabili, utilizzano bundle di adware e diffondono malware per convertire le macchine violate in proxy.
Rilevamento di Programmi Illeciti di Proxyware
Rileva se il tuo sistema è stato infettato da proxyware utilizzando una regola Sigma pubblicata da un prolifico Programma di Bounty per le Minacce sviluppatore Onur Atali. Il rilevamento identifica i nomi dei file del malware utilizzato dal malware Proxyware:
Rilevamento Strumento Attaccante di Proxyware (tramite file_event)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake e Open Distro.
La regola è mappata al framework MITRE ATT&CK® v.10, affrontando la tattica di Execution con Command and Scripting Interpreter (T1059), User Execution (T1204) come tecniche principali.
Le aziende hanno bisogno di soluzioni precise, basate sull’esposizione, che taglino il rumore, identifichino le vere minacce alla sicurezza e consentano soluzioni pratiche ed economiche. Tutto quanto sopra e altro ancora è disponibile per gli utenti registrati della piattaforma SOC Prime. Premi il pulsante Detect & Hunt per esplorare oltre 200.000 rilevamenti accuratamente curati e verificati. Gli utenti non registrati possono accedere al proxyware kit di regole dedicato e metadati contestuali rilevanti premendo il pulsante Explore Threat Context .
Detect & Hunt Explore Threat Context
Analisi delle Infezioni da Proxyware
The Il team di analisi di ASEC ha rivelato avversari che hanno adottato con successo un metodo meno comune per generare entrate. I ricercatori hanno identificato malware che permette agli hacker criminali di dirottare dispositivi, utilizzandoli come proxy senza che gli host lo sappiano. Gli attori delle minacce eseguono il proxyware per consentire agli utenti remoti di sfruttare le risorse della macchina infetta per vari compiti, con gli attaccanti che ricevono il loro profitto tramite i servizi Peer2Profit e IPRoyal. Questo approccio di dirottamento è simile a quello del crypto mining.
illegale la piattaforma Detection as Code di SOC Prime. Caccia le minacce all’interno del tuo ambiente di sicurezza e migliora la copertura delle fonti di log e ATT&CK di MITRE per portare la tua difesa al livello successivo.
