Adversários Invadem Servidores Microsoft SQL para Instalar Proxyware e Roubar Largura de Banda
Índice:
Analistas de segurança relatam um número crescente de casos de abuso adversário de software chamado ‘proxyware’. Os usuários podem instalar proxyware (operado via aplicação cliente) e se tornar doadores de largura de banda ao compartilhar sua conexão de internet via serviços como Peer2Profit e IPRoyal. Os anfitriões, incentivados com recompensas monetárias, permitem que outros usuários acessem a web a partir de sua localização para diversos fins.
Atores de ameaças baixam e executam ilicitamente proxyware em sistemas comprometidos, roubando a largura de banda da rede das vítimas em busca de ganho financeiro. Atualmente, há evidências crescentes de que hackers criminosos estão alvejando servidores MS-SQL vulneráveis, utilizando pacotes de adware e espalhando malware para converter máquinas hackeadas em proxies.
Detecção de Programas de Proxyware Ilícitos
Detecte se o seu sistema foi infectado com proxyware utilizando uma regra Sigma liberada por um prolífico Programa de Recompensa por Ameaças desenvolvedor Onur Atali. A detecção identifica os nomes de arquivos de malware usados pelo malware Proxyware:
Detecção de Ferramenta Atacante de Proxyware (via file_event)
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake e Open Distro.
A regra é mapeada para o framework MITRE ATT&CK® v.10, abordando a tática de Execução com Interpretador de Comandos e Scripts (T1059), Execução pelo Usuário (T1204) como as técnicas principais.
Empresas precisam de soluções precisas, baseadas na exposição, que atravessem o ruído, identifiquem as verdadeiras ameaças de segurança e possibilitem soluções práticas e econômicas. Tudo isso e muito mais está disponível para os usuários registrados da SOC Prime Platform. Pressione o botão Detectar & Caçar para explorar mais de 200.000 detecções minuciosamente selecionadas e verificadas. Usuários não registrados podem acessar o proxyware kit de regras dedicado e metadados contextuais relevantes pressionando o botão Explorar Contexto de Ameaça .
Detectar & Caçar Explorar Contexto de Ameaça
Análise de Infecção por Proxyware
The A equipe de análise ASEC revelou adversários que têm adotado com sucesso um método menos comum para gerar receita. Os pesquisadores identificaram malware que permite aos hackers criminosos sequestrar dispositivos, usando-os como proxies sem o conhecimento dos anfitriões. Atores de ameaça executam proxyware para permitir que usuários remotos aproveitem os recursos da máquina infectada para várias tarefas, com o lucro dos atacantes sendo obtido via serviços Peer2Profit e IPRoyal. Esta abordagem de sequestro é semelhante à de mineração de criptomoedas.
Detecte intrusões e resista a ciberataques com melhor eficiência e velocidade fornecida pela plataforma SOC Prime’s Detection as Code. Caçe ameaças dentro do seu ambiente de segurança e melhore a cobertura da fonte de logs e do MITRE ATT&CK para elevar sua defesa ao próximo nível.
