공격자들이 마이크로소프트 SQL 서버를 해킹하여 프록시웨어 설치하고 대역폭을 탈취하다
목차:
보안 분석가들은 ‘프록시웨어(proxyware)’라는 소프트웨어의 악의적 사용 사례가 증가하고 있다고 보고하고 있습니다. 사용자는 프록시웨어를 설치하고(클라이언트 애플리케이션을 통해 운영됩니다) Peer2Profit 및 IPRoyal과 같은 서비스를 통해 자신의 인터넷 연결을 공유하여 대역폭 기부자가 될 수 있습니다. 호스트들은 금전적 보상으로 인센티브를 받아, 다른 사용자들이 다양한 목적으로 해당 위치에서 웹에 접근할 수 있도록 합니다.
위협 행위자들은 불법적으로 감염된 시스템에 프록시웨어를 다운로드하고 실행하여 피해자의 네트워크 대역폭을 도용해 금전적 이득을 추구합니다. 현재 범죄 해커들이 취약한 MS-SQL 서버를 표적으로 삼고 있다, 애드웨어 번들을 사용하고, 해킹된 머신을 프록시로 변환하기 위해 악성 코드를 전파하고 있다는 증거가 증가하고 있습니다.
불법 프록시웨어 프로그램 탐지
생산성 높은 위협 현상금 프로그램 개발자 오누르 아탈리가 출시한 Sigma 규칙을 활용하여 시스템이 프록시웨어에 감염되었는지 탐지하세요. 이 탐지는 프록시웨어 악성 코드에서 사용한 악성 파일 이름을 식별합니다:
이 탐지는 다음 SIEM, EDR & XDR 플랫폼에 대한 번역을 제공합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake, 및 Open Distro.
규칙은 MITRE ATT&CK® 프레임워크 v.10에 매핑되어 있으며, 실행 전술에 대한 주요 기술로 명령 및 스크립트 인터프리터(T1059) 및 사용자 실행(T1204)을 다룹니다.
기업은 노이즈를 차단하고 실제 보안 위협을 정확히 찾아내며, 실질적이고 비용 효과적인 솔루션을 실현할 수 있는 정밀한 노출 기반 솔루션이 필요합니다. 위 모든 것과 더 많은 것들이 등록된 SOC Prime 플랫폼 사용자에게 제공됩니다. ” 탐지 및 사냥 ” 버튼을 눌러 200,000개 이상의 철저히 선별되고 검증된 탐지 항목을 탐험하세요. 등록되지 않은 사용자는 ” 프록시웨어 ” 전용 규칙 키트와 관련된 상황별 메타데이터를 ” 위협 맥락 탐색 ” 버튼을 눌러 확인할 수 있습니다.
프록시웨어 감염 분석
The ASEC 분석팀 은 수익을 창출하기 위해 덜 일반적인 방법을 성공적으로 채택한 적들을 밝혀냈습니다. 연구원들은 범죄 해커들이 장치를 하이재킹하여 호스트가 모르게 프록시로 만드는 악성 코드를 발견했습니다. 위협 행위자들은 감염된 장치의 자원을 여러 작업에 활용할 수 있도록 프록시웨어를 실행하며, 공격자들은 Peer2Profit 및 IPRoyal 서비스로 수익을 얻습니다. 이 하이재킹 방식은 불법 암호화폐 채굴.
적용 SOC Prime의 Detection as Code 플랫폼을 통해 더 나은 효율성과 속도로 침입을 탐지하고 사이버 공격을 견디어 내세요. 보안 환경 내에서 위협을 사냥하고 방어를 한층 높이기 위해 로그 소스 및 MITRE ATT&CK 적용 범위를 개선하십시오.
