Nye proxyjacking-angreb tjener penge på Båndbredden på hackede SSH-servere på samme måde som Cryptojacking – Ransomware, Kryptering, DeKryptering, Malware og Penetrationstest

Angribere bag en igangværende række af succesfulde SSH proxyjacking-angreb hacker sig ind på sårbare SSH-servere. De tjener således penge på dem gennem proxyware-tjenester, der betaler for deling af ubrugt internetbåndbredde.

Ligesom cryptojacking, der giver angribere mulighed for at bruge hackede systemer til at mine kryptovaluta, er proxyjacking en lav-indsats og høj-belønning taktik til at suge ressourcer fra kompromitterede enheder.

Og det kan blive dyrt i regninger fra ens Server Hosting Center eller Cloud udbyder, især hvis der er tale om trafikafregning.

Proxyjacking er dog sværere at opdage, fordi det kun suger på de hackede systemers ubrugte båndbredde og ikke påvirker deres samlede stabilitet og brugervenlighed. Man er således tvunget til at overvåge båndbredde og virksomheder der ikke har dette er særdeles udsatte. Men det er tilgengæld billigt at etablere og selv Open Source pakker udbyder dette gratis, så der burde ikke være undskyldning for at overvåge pludselige stigninger eller fald i båndbredden.

Normalvis overvåger disse også HVOR trafikken kommer fra og da de ofte er fra udlandet er de ret nemme st se på og tillige udelukke fra at snylte på din båndbredde.

Ellers ser samtlige af vores løsninger til at forhindrer DDOS og på båndbredde forbruget.

Selvom trusselaktører også kan bruge hackede enheder til at oprette proxies, der kan hjælpe dem med at skjule deres spor og forvirre ondsindet aktivitet, var cyberkriminelle bag denne kampagne kun interesseret i at tjene penge gennem kommercielle proxyware-tjenester.

“Dette er en aktiv kampagne, hvor angriberen udnytter SSH til fjernadgang, kører ondsindede scripts, der skjult indrullerer ofrenes servere i et peer-to-peer (P2P) proxy-netværk, som Peer2Proxy eller Honeygain,”
Det siger sikkerhedsforsker hos Akamai, Allen West.

Og han forsætter: “Dette giver angriberen mulighed for at tjene penge på en intetanende offers ekstra båndbredde, med kun en brøkdel af den ressourcebelastning, der ville være nødvendig for cryptomining, med mindre chance for opdagelse.”

Under undersøgelsen af denne kampagne fandt Akamai en liste, der indeholdt IP’en, der startede undersøgelsen, og mindst 16.500 andre proxies delt på et online forum. Proxyware-tjenester og Docker-containere

Akamai opdagede først angrebene den 8. juni, efter at flere SSH-forbindelser blev lavet til honeypots, der administreres af firmaets Security Intelligence Response Team (SIRT).

Når de var forbundet til en af de sårbare SSH-servere, udrullede angriberne et Base64-kodet Bash-script, der tilføjede de hackede systemer til Honeygain’s eller Peer2Profit’s proxy-netværk.

Scriptet opsætter også en container ved at downloade Peer2Profit eller Honeygain Docker-billeder og dræbe andre rivalers båndbredde-deling containere.

Akamai fandt også cryptominers, der blev brugt i cryptojacking-angreb, exploits og hacking-værktøjer på den kompromitterede server, der blev brugt til at opbevare det ondsindede script. Dette antyder, at trusselaktørerne enten er fuldt overgået til proxyjacking eller bruger det for at få en ekstra passiv indkomst, ved at sælge din båndbredde eller services.

“Proxyjacking er blevet den nyeste måde for cyberkriminelle at tjene penge på kompromitterede enheder i både et erhvervsmæssigt og forbrugerøkosystem,” og “Det er et mere snigende alternativ til cryptojacking og har alvorlige konsekvenser, der kan øge de hovedpiner, som proxiede Lag 7-angreb allerede medfører.”

sagde West forstsat

Dette er blot én af mange lignende kampagner, der tilmelder systemer, de kompromitterer, til proxyware-tjenester som Honeygain, Nanowire, Peer2Profit, IPRoyal og andre, som Cisco Talos og Ahnlab tidligere har rapporteret.

Hvad er SSH?

SSH, eller Secure Shell, er en netværksprotokol, der giver brugere og systemer sikker adgang til fjernservere. Den krypterer data, der overføres mellem forskellige systemer, for at beskytte dem mod potentiel aflytning, kapring eller anden form for cyberangreb. SSH bruges almindeligvis til fjernadministration af systemer og filoverførsler over internettet.

Selvom SSH er designet til at være sikker, kan der være sikkerhedshuller af flere årsager:

Dårlig konfiguration: En almindelig årsag til sikkerhedshuller er fejl i opsætningen af SSH-serveren. Dette kan inkludere ting som at tillade root-login, ikke begrænse IP-adresser, der kan forbinde til serveren, og ikke at deaktivere tomme eller svage adgangskoder.
Brugerfejl: En bruger kan utilsigtet skabe en sikkerhedsrisiko ved at dele sin private nøgle, bruge svage adgangskoder, eller ikke opdatere adgangskoder regelmæssigt.
Udnyttelse af sårbarheder i SSH-softwaren: Ligesom alle softwareprodukter kan SSH have fejl eller sårbarheder, som kan blive udnyttet af en angriber. Når disse sårbarheder opdages, udsendes der normalt patches til at løse dem. Det er derfor vigtigt at holde sin SSH-software opdateret for at beskytte mod disse former for angreb.
Brute Force-angreb: Hvis en SSH-server er konfigureret til at tillade adgangskodebaseret godkendelse, kan den være sårbar over for brute force-angreb, hvor en angriber forsøger mange forskellige adgangskoder, indtil den korrekte findes.

For at beskytte mod disse og andre sikkerhedstrusler, er det vigtigt at følge bedste praksis for SSH-sikkerhed. Dette kan inkludere at begrænse adgangen til SSH-serveren, bruge stærke adgangskoder eller nøglebaseret godkendelse, holde SSH-softwaren opdateret og regelmæssigt overvåge og revurdere sikkerhedsindstillingerne.

Kilde: Akamai, ICARE SECURITY A/S
Fotokredit: SSH