セキュリティアナリストは、’プロキシウェア’と呼ばれるソフトウェアの悪意のある使用が増加していると報告しています。ユーザーはプロキシウェア(クライアントアプリケーションを通じて操作)をインストールし、Peer2ProfitやIPRoyalのようなサービスを通じてインターネット接続を共有することで帯域幅提供者になることができます。ホストは金銭的報酬をインセンティブとし、他のユーザーがさまざまな目的でその場所からインターネットにアクセスできるようにします。
脅威アクターは、不正にコンプロマイズされたシステムにプロキシウェアをダウンロードして実行し、被害者のネットワーク帯域幅を盗んで金銭的利益を追求します。現在、犯罪ハッカーが脆弱なMS-SQLサーバーを標的にし、アドウェアバンドルを利用してマルウェアを広めることにより、侵害されたマシンをプロキシに変換するという証拠が増えつつあります。
不正プロキシウェアプログラムの検出
有名な 脅威報奨金プログラム 開発者 Onur Ataliによってリリースされたシグマルールを利用して、システムがプロキシウェアに感染したかどうかを検出します。この検出は、プロキシウェアマルウェアによって使用されるマルウェアのファイル名を識別します:
この検出には、次のSIEM、EDR、およびXDRプラットフォームの翻訳があります:Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Chronicle Security、LimaCharlie、SentinelOne、Microsoft Defender ATP、CrowdStrike、Apache Kafka ksqlDB、Carbon Black、Securonix、Snowflake、Open Distro。
このルールは MITRE ATT&CK®フレームワーク v.10にマッピングされ、実行タクティクスを対象にし、コマンドとスクリプトインタープリター(T1059)、ユーザー実行(T1204)を主要技術として扱います。
企業は、ノイズを切り分け、実際のセキュリティ脅威を特定し、実用的かつ費用対効果の高い解決策を可能にする、正確で露出ベースのソリューションを必要としています。上記のすべてとさらに多くの機能は、登録済みのSOC Primeプラットフォームユーザーが利用可能です。 検出とハント ボタンを押して、200,000以上の徹底的に精査され検証された検出を探索してください。未登録ユーザーは、 プロキシウェア 専用ルールキットおよび関連するコンテキストメタデータにアクセスするには 脅威コンテキストの探索 ボタンを押します。
プロキシウェアインフェクション解析
The ASEC分析チーム は、収益を得るためにあまり一般的でない方法を採用した敵対者を明らかにしました。研究者は、犯罪ハッカーがデバイスをハイジャックし、ホストの知らないうちにプロキシとして使用させることを可能にするマルウェアを特定しました。脅威アクターは、リモートユーザーが感染したマシンのリソースをさまざまなタスクに利用できるようにするためにプロキシウェアを実行し、アタッカーはPeer2ProfitとIPRoyalのサービスを通じて収益を得ます。このハイジャック手法は、違法な 暗号マイニング.
によく似ています。 SOC Primeのコードとしての検出プラットフォームにより、効率と速度を向上させて侵入を検出し、サイバー攻撃に耐えましょう。セキュリティ環境内の脅威をハントし、ログソースおよびMITRE ATT&CKのカバレッジを改善して、防御を次のレベルに引き上げましょう。
