„Wussten Sie, dass Sie mühelos ein kleines passives Einkommen erzielen können, indem Sie einfach eine Anwendung auf Ihren Heimcomputern und Mobiltelefonen laufen lassen? Sie ermöglicht es anderen, die eine Gebühr an einen Proxy-Dienstanbieter zahlen, sich Ihre IP-Adresse zu leihen, um z. B. ein Youtube-Video anzusehen, das in ihrer Region nicht verfügbar ist, uneingeschränkt im Internet zu surfen oder dubiose Websites zu besuchen, ohne dass die Aktivitäten ihrer eigenen IP-Adresse zugeordnet werden. Wie bei allen Dingen können böswillige Akteure einen Vorteil daraus ziehen. In dieser Situation können sie in Ihrem Namen – ohne Ihr Wissen – Bandbreite verkaufen, um bis zu 10 US-Dollar pro Monat für jedes kompromittierte Gerät zu verdienen und Sie gleichzeitig zusätzlichen Kosten und Risiken auszusetzen.“
Das Threat Research Team von Sysdig (Sysdig TRT) entdeckte einen neuen Angriff, der als Proxyjacking bezeichnet wird und die Log4j-Schwachstelle für den Erstzugang ausnutzt. Anschließend verkaufen die Angreifer die IP-Adressen der Opfer gewinnbringend an Proxyware-Dienste. Während Log4j-Angriffe häufig vorkommen, war die in diesem Fall verwendete Nutzlast ungewöhnlich. Anstelle des typischen Cryptojacking- oder Backdoor-Payloads installierte der Angreifer einen Agenten, der das kompromittierte Konto in einen Proxy-Server verwandelte und es dem Angreifer ermöglichte, die IP-Adresse an einen Proxyware-Dienst zu verkaufen und den Gewinn einzustreichen.
Was ist Proxyjacking?
Es ist ein neues Phänomen, das durch die Zunahme und Nutzung von Proxyware-Diensten in den letzten Jahren entstanden ist. Ein Proxyware-Dienst ist eine völlig legitime und nicht bösartige Anwendung oder Software, die Sie auf Ihren mit dem Internet verbundenen Geräten installieren können und mit der Sie Ihre Internet-Bandbreite mit anderen teilen, die für die Nutzung Ihrer IP-Adresse bezahlen. Diese Dienste, wie IPRoyal, Honeygain, Peer2Profit und andere, bezahlen Sie für jede IP-Adresse, die Sie freigeben, auf der Grundlage der Anzahl der Stunden, in denen Sie die Anwendung ausführen.
Diese Dienste wurden bei Adware-Angriffen eingesetzt, über die die Cisco Talos Intelligence Group und das AhnLab Security Response Center (ASEC) bereits berichtet haben. Proxyware-Dienste ermöglichen es einem Benutzer, Geld zu verdienen, indem er seine Internetverbindung mit anderen teilt. Wie Talos in ihrem Blog-Post erklärt, nutzen Angreifer diese Plattformen, um die Internet-Bandbreite der Opfer zu monetarisieren, ähnlich wie bösartiges Cryptocurrency-Mining versucht, die CPU-Zyklen infizierter Systeme zu monetarisieren.
IPRoyal definiert sich selbst als globales Proxy-Netzwerk, das für sich in Anspruch nimmt, IPs zu „100 Prozent aus ethischen Quellen zu beziehen“, was vermutlich bedeutet, dass sie keine IPs kaufen und verkaufen, die möglicherweise gestohlen oder durch die Verwendung virtueller Maschinen und dergleichen gefälscht wurden. Man kann davon ausgehen, dass dies auch bedeutet, dass sie eine Art von Überprüfungsprozess durchführen, um sicherzustellen, dass niemand von Proxyjacking betroffen ist. Das Proxy-Netzwerk von IPRoyal umfasst IPs, die über den Proxyware-Dienst pawns[.]app freigegeben werden. Das Sysdig-TRT fand diese ethische Behauptung schwer zu glauben, basierend auf ihrem eingefangenen Honeypot-Angriff, und beschloss, diesen und andere Proxyware-Dienste auf die Probe zu stellen, um zu sehen, ob dies wirklich eine Einnahmequelle für bösartige Akteure sein könnte.
Das Verdienstpotenzial von Proxyjacking
Auf breiter Ebene könnte diese Kampagne den Angreifern ein lukratives Einkommen verschaffen. Laut der Gewinnskala von pawns[.]app bringt eine 24-stündige Aktivität für eine IP-Adresse 9,60 US-Dollar pro Monat ein. Während Pawns Kontrollen durchführt, um sicherzustellen, dass der Nutzer keine Cloud-Instanz wie EC2 verkauft, gelten für Peer2Profit nicht dieselben Einschränkungen.
Wie bereits erwähnt wurde, geschah der erste Zugang in unserem Honeypot durch Ausnutzung einer Log4j-Schwachstelle. Millionen von Systemen laufen immer noch mit anfälligen Versionen von Log4j und laut Censys sind mehr als 23.000 davon über das Internet erreichbar. Log4j ist nicht der einzige Angriffsvektor für die Verbreitung von Proxyjacking-Malware, aber allein diese Schwachstelle könnte theoretisch mehr als 220.000 Dollar Gewinn pro Monat einbringen. Konservativer ausgedrückt: Eine bescheidene Kompromittierung von 100 IPs bringt ein passives Einkommen von fast 1.000 Dollar pro Monat.
Während Pawns und IPRoyal Beschränkungen hinsichtlich der Arten von IPs haben, die sie kaufen und freigeben, haben andere Proxyware-Dienste wie Peer2Profit keine. Es wurde festgestellt, dass die Pawns-Anwendung auf einer EC2- oder OVHCloud-IP nicht ordnungsgemäß funktioniert, da sie den Client auf IP-Adressen beschränkt, die als Privatanwender eingestuft werden. Man kann davon ausgehen, dass Pawns einen Dienst wie ip2location[.]com nutzt, um die Klassifizierung vorzunehmen, wenn ein neuer Agent versucht, sich zu registrieren. Dies könnte wohlwollend sein, aber wahrscheinlicher ist es, weil IP-Adressen in Wohngebieten als vertrauenswürdiger (und wünschenswerter) angesehen werden als Cloud-VPS.
Das Sysdig-TRT hat bestätigt, dass Peer2Profit auf einer Server-/Datencenter-IP, wie AWS EC2, läuft. Dies ist in den FAQs auf ihrer Website detailliert beschrieben, ebenso wie eine Bestätigung, dass der Prozess auf virtuellen Maschinen durchgeführt wird. Sie stellen sogar einen Docker-Container zur Verfügung, um eine mühelose Ausführung zu ermöglichen. Der Peer2Profit-Agent wurde auch für die Ausführung auf ARM-Systemen kompiliert, und es werden Beispiele für die Ausführung auf Systemen wie einem Raspberry-Pi angeboten. Mehrere dieser Proxyware-Dienste vermarkten auch die Verfügbarkeit von mobilen Proxy-Servern und haben Android-Apps auf dem Marktplatz.
Kryptomining und Proxyjacking
Cryptojacking ist die unbefugte Nutzung eines Computers oder Geräts zum Mining von Kryptowährungen. In der häufigsten Form installieren Angreifer CPU-basierte Miner, um den maximalen Wert aus den kompromittierten Systemen zu ziehen (die nur sehr selten über GPUs verfügen, wodurch die häufigeren GPU-basierten Miner obsolet werden). Proxyjacking, wie es in diesem Beitrag definiert wird, kann als Gegenstück zu Cryptojacking betrachtet werden, da es hauptsächlich darauf abzielt, Netzwerkressourcen zu nutzen und dabei nur einen minimalen CPU-Fußabdruck zu hinterlassen.
Sowohl Kryptojacking als auch Proxyjacking können einem Angreifer monatlich etwa den gleichen Geldbetrag einbringen – Proxyjacking könnte bei den aktuellen Kryptowährungskursen und Proxyware-Auszahlungen sogar profitabler sein. Proxyjacking ist jedoch in Systemüberwachungssoftware nicht annähernd so sichtbar wie Kryptojacking. Fast jede Überwachungssoftware hat die CPU-Auslastung als eine der ersten (und zu Recht wichtigsten) Messgrößen. Die Auswirkungen von Proxyjacking auf das System sind jedoch marginal – 1 GB Netzwerkverkehr, verteilt über einen Monat, sind einige MB pro Tag, die sehr wahrscheinlich unbemerkt bleiben.
Bekannte Angriffsvektoren
Bei dem von Sysdig-TRT entdeckten Proxyjacking-Angriff zielten die Angreifer auf Kubernetes-Infrastruktur ab, insbesondere auf einen ungepatchten Apache-Solr-Dienst, um die Kontrolle über den Container zu übernehmen und ihre Aktivitäten fortzusetzen. Im Folgenden werden die einzelnen Schritte des erfassten Angriffs näher erläutert.
Erstmaliger Zugriff (CVE-2021-44228) und Ausführung
Der Angreifer verschaffte sich einen ersten Zugang zu einem Container, indem er die berüchtigte Log4j-Schwachstelle (CVE-2021-44228) in einer Apache-Solr-Anwendung ausnutzte. Wie wir alle wissen, gibt es viele öffentliche Exploits für diese Schwachstelle, um aus der Ferne Code auf dem Rechner des Opfers auszuführen. Die Angreifer führten den untenstehenden Befehl aus, um ein bösartiges Skript vom Angreifer herunterzuladen und im /tmp-Ordner abzulegen, um sicherzugehen, dass sie über die nötigen Rechte verfügen, um die Aktion durchzuführen.
Das ausgeführte Skript finden Sie hier, zusammen mit dem vom Angreifer auf dem kompromittierten Pod ausgeführten Befehl.
Die erste Ausführung des Angreifers bestand im Herunterladen einer ELF-Datei mit dem Namen /tmp/p32, die dann mit einigen Parametern ausgeführt wurde, darunter die E-Mail-Adresse magyber1980@gmail[.]com und das zugehörige Passwort für das pawns[.]app-Konto.
Bei der Analyse der heruntergeladenen und ausgeführten Binärdatei des gemeldeten bösartigen Skripts war es möglich, sie mit der CLI-Version der IPRoyal-Pawns-Anwendung von GitHub zu korrelieren, die dieselben Parameter bei der Eingabe verwendet.
Von diesem Punkt an erreichte der Angreifer das Hauptziel, Geld mit dem kompromittierten Pod zu verdienen. Ziemlich einfach, nicht wahr?
Umgehung der Verteidigung und Hartnäckigkeit
Sobald der Angreifer die bösartige Binärdatei ausgeführt und damit begonnen hatte, Geld zu verdienen, führte er Befehle aus, um die Erkennung zu umgehen und Persistenz zu erreichen.
Sie säuberten den kompromittierten Pod, indem sie den Verlauf löschten und die in den Containern abgelegte Datei sowie die temporären Dateien entfernten. Nachfolgend finden Sie eine Liste der Dateien, die während des Angriffs geändert oder gelöscht wurden.
File | Action |
/run/crond.pid | modified |
/proc/self/loginuid | modified |
/var/spool/cron/crontabs/tmp.WdWUdr | deleted |
/tmp/b | new |
/tmp/tmpfeo2Ew4 | deleted |
/tmp/c | new |
/var/spool/cron/crontabs/tmp.4YwEf2 | deleted |
/tmp/p32 | new |
/var/spool/cron/crontabs/root | new |
/run/crond.reboot | modified |
Sobald ihre Spuren verwischt waren, führten die Angreifer anhaltende Aktionen innerhalb des kompromittierten Pods durch. Wie so oft wurde crontab verwendet, um den Download und die Ausführung des oben erwähnten Skripts zu planen. Auf diese Weise wird der Befehl alle 10 Minuten ausgeführt, und wenn etwas passiert oder der Prozess möglicherweise beendet wird, startet er die Ausführung selbstständig neu.
Container-Supply-Chain
Container bieten die Möglichkeit, Code in Infrastruktur sehr einfach zu verteilen und einzusetzen. Dies kann auch von Angreifern zu ihrem Vorteil genutzt werden, um bösartigen Code in kompromittierten Umgebungen einzusetzen, um Geld zu verdienen und ihr Ziel zu erreichen.
Dienste wie Docker-Hub bieten Zugang zu öffentlichen Open-Source-Image-Repositories und jeder Benutzer kann seine eigenen privaten Repositories erstellen, um persönliche Images zu speichern. Wie in unserem Threat Report 2022 dargelegt, wird dies auch von Angreifern genutzt, die darauf hoffen, dass die Benutzer diese Images herunterladen und in ihrer Infrastruktur ausführen. Bei der installierten Malware kann es sich um alles Mögliche handeln, von Kryptominern über Backdoors bis hin zu Tools, die automatisch Daten exfiltrieren.
Eine der Bedrohungen, die bei Proxyjacking-Untersuchungen festgestellt wurden, war die Verwendung von Proxyware-Diensten in Container-Images. Im Folgenden finden Sie einige der Docker-Hub-Images, die entdeckt wurden und entweder eine große Anzahl von Downloads oder verschleierten Image-Namen haben. Diese Liste ist nicht vollständig, da noch weitere Images getarnt sein können.
Bild Name | Downloads |
enwaiax/peer2profit | > 500k |
fazalfarhan01/peer2profit:latest | > 10m |
peer2profit/peer2profit_linux | > 100k |
jujudna/peer2profit | 3.7k |
gqkkk/p2p | 358 |
enwaiax/phpcoin-miner | 220 |
computeofficial/pawnsapp | 346 |
Auswirkungen von Proxyjacking
Ein Proxyjacking-Angriff kann als lästige Malware und nicht als ernsthafte Bedrohung unterschätzt werden, wie es beim Cryptomining häufig der Fall ist. Auch wenn diese Art von Angriff nicht direkt zur Zerstörung von Daten oder zum Diebstahl von geistigem Eigentum führt, könnte dies eine indirekte Folge sein, wie in der SCARLETEEL-Analyse berichtet wurde. Ein Proxyjacking-Angriff kann sich auf zwei Arten negativ auf ein Unternehmen auswirken:
Finanzielle Folgen: Proxyjacking verursacht, ähnlich wie Kryptojacking, finanzielle Kosten für die Opfer. Im Falle von Diensten, die bei einem Cloud-Service-Anbieter (CSP) laufen, könnten diese gemessen werden. AWS beispielsweise erhebt Gebühren auf der Grundlage der Menge des Datenverkehrs, der über das Internet nach außen geleitet wird. Proxyjacking-IP-Verkehr geht für jede Instanz, auf der der Agent läuft, sowohl ein- als auch auswärts. Der Agent verbraucht auch CPU und Speicher, was die Kosten für das Opfer weiter erhöht.
Da jeder CSP eine andere Abrechnungsmethode hat, ist es wichtig zu verstehen, wie man bei einem solchen Vorfall betroffen sein könnte. Es ist zwar bekannt, dass CSPs die durch Malware entstandenen Kosten verzeihen, aber es gibt keine Garantie dafür, dass diese Praxis auch in Zukunft beibehalten wird. Ein solcher Angriff könnte, vor allem wenn er sich in interner Infrastruktur ausbreitet, zu einer erheblichen finanziellen Belastung führen.
Reputation/Rechtliche Folgen: Wenn wissentlich oder unwissentlich Internet-Bandbreite an einen Proxyware-Dienst verkauft wird, gibt es keine Garantie, dass diese nicht für böswillige oder illegale Aktivitäten genutzt wird. Ein Akteur kann genauso leicht ein gemeinsam genutztes Internet kaufen und für einen Angriff nutzen. Viele böswillige Angreifer verwenden Proxys, um ihre Befehls- und Steuerungsaktivitäten und Identifizierungsinformationen zu verschleiern. Laut Vista Criminal Law ist eine IP-Adresse häufig der Ausgangspunkt für Ermittlungen, und der Haupteigentümer oder -nutzer der IP ist in der Regel nicht an der illegalen Aktivität beteiligt. Mit der Verschleierung durch den Proxyware-Dienst scheint der Angriff nun von einem ihrem Netzwerk auszugehen; Sie und Ihr Netzwerk sind nun potenziell in die Ermittlungen der Strafverfolgungsbehörden verwickelt.
Zusammenfassung
Proxyjacking ist ein Angriff mit geringem Aufwand und hohem Gewinn für die Bedrohungsakteure, der weitreichende Folgen haben kann. Die Liste der Proxyware-Dienste, von denen berichtet wird, dass sie für Proxyjacking genutzt werden, ist im Moment noch klein, aber mit der Zeit werden die Angreifer einen Weg finden und die Verteidiger werden weitere ruchlose Aktivitäten aufdecken. Das Sysdig-TRT empfiehlt die Einrichtung von Abrechnungsgrenzen und Warnmeldungen beim CSP, um den Erhalt von möglicherweise schockierenden Rechnungen zu vermeiden. Außerdem sollten Regeln für die Erkennung von Bedrohungen eingerichtet werden, um bei den ersten Zugriffs- und Nutzdatenaktivitäten vor der Installation einer Proxyware-Anwendung im Netzwerk Alarm zu schlagen.
Von Crystal Morin, Threat Research Engineer bei Sysdig
Crystal ist Threat Research Engineer bei Sysdig und beschäftigt sich mit der Entdeckung und Analyse von Cyber-Bedrohungsakteuren in Cloud- und Container-Umgebungen. Crystal begann ihre Karriere als Linguistin und Geheimdienstanalystin bei der United States Air Force. Bevor sie zu Sysdig kam, war sie vier Jahre lang als Auftragnehmerin für Booz Allen Hamilton tätig, wo sie über Terrorismus und Cyberbedrohungen forschte und berichtete. Crystal war für die Bildung und Weiterentwicklung von Booz Allens Cyber-Bedrohungsintelligenz Community und Fähigkeiten zur Bedrohungsjagd verantwortlich. LinkedIn: https://www.linkedin.com/in/crystal-morin-416494228
#Sysdig