Sob ataque: como atores de ameaça estão explorando proxies SOCKS
Dos blocos de construção básicos da Internet à mineração de criptomoedas em um supercomputador, o SOCKS está no centro da computação. Um proxy SOCKS pode ser usado para melhorar a segurança da rede em uma empresa, mas também pode ser explorado por cibercriminosos por motivos nefastos.
Dê uma olhada em como os proxies SOCKS foram manipulados recentemente por atores de ameaças.
O que é um proxy SOCKS?
SOCKS, que significa Socket Secure, é um protocolo de internet que permite a troca de pacotes entre um cliente e um servidor através de um servidor proxy.
De acordo com a Internet Engineering Task Force, o protocolo é “projetado para fornecer uma estrutura para aplicativos cliente-servidor nos domínios TCP (protocolo de controle de transmissão) e UDP (protocolo de datagrama do usuário) para usar de forma conveniente e segura os serviços de um firewall de rede . ”
Um servidor proxy funciona como um intermediário para solicitações de um cliente em uma rede interna que busca serviços ou recursos da Internet. O servidor proxy possui seu próprio endereço IP público.
Existem vários casos de uso para um servidor proxy: para melhorar a segurança da rede, realizar ações anonimamente, equilibrar o tráfego da rede, controlar o uso da Internet pelos funcionários e fornecer velocidades de rede mais rápidas compactando o tráfego, armazenando arquivos em cache e removendo anúncios de sites.
Existem atualmente duas versões de SOCKS: SOCKS4 e SOCKS5. SOCKS5 é a versão atual do protocolo. Ele oferece suporte a uma variedade de métodos de autenticação, bem como proxies UDP (User Datagram Protocol).
Existem vários benefícios em usar a versão mais recente do SOCKS para um servidor proxy. Primeiro, permite que um administrador acesse serviços de back-end remotamente dentro de um cluster hospedado na nuvem por trás de um firewall, sem expor as portas de serviço de back-end. Em segundo lugar, não requer nada de especial, desde que haja acesso de shell seguro (SSH) ao nó do Edge ou ao gateway. Terceiro, um proxy SOCKS5 pode rotear o tráfego de teste TCP (TTCP) e UDP por meio de encapsulamento SSH. Portanto, cada serviço não requer um proxy exclusivo para enviar solicitações. E, finalmente, ele não reescreve pacotes de dados, portanto, comete menos erros e melhora o desempenho.
SOCKS5 proxies usados em ataques de supercomputador
Infelizmente, um proxy SOCKS pode ser abusado por invasores para realizar vários tipos de atividades nefastas.
Um exemplo recente envolve ataques de criptomineração a supercomputadores acadêmicos usados para conduzir pesquisas avançadas. Os invasores conseguiram se conectar a um host proxy SOCKS5 executando uma instância microSOCKS em uma porta alta. Eles fizeram isso explorando uma conexão SSH da rede anônima Tor, de acordo com uma pesquisa da equipe de resposta a incidentes de segurança de computador da European Grid Infrastructure Foundation. MicroSOCKS é um pequeno servidor SOCKS5 multithread.
Normalmente, os pesquisadores usam a conexão SSH para fazer login nos supercomputadores remotamente. Os invasores conseguiram roubar as credenciais SSH e mover-se entre supercomputadores usando as credenciais SSH roubadas. Os invasores então usaram os supercomputadores para minerar criptomoedas.
As instituições acadêmicas que executam os supercomputadores tiveram que desligá-los para limpar o malware de criptomineração, interrompendo pesquisas acadêmicas valiosas.
SOCKS5 explorado por Dark Nexus Botnet
Em outro ataque recente, o botnet Internet das coisas (IoT) Dark Nexus conseguiu alistar um proxy SOCKS em um esquema que oferecia ataques de negação de serviço (DDoS) distribuídos para serviços de aluguel.
Os atacantes do Dark Nexus infectam dispositivos IoT e então executam um proxy SOCKS5 em uma porta escolhida aleatoriamente que se conecta ao servidor de comando e controle como parte do registro, com base em uma análise do Bitdefender .
Os pesquisadores do Bitdefender acreditam que os invasores estão vendendo acesso aos proxies SOCKS5 em um fórum clandestino. No entanto, eles não têm evidências diretas para apoiar essa crença.
Além disso, o botnet Gwmndy abusou dos servidores proxy SOCKS. Os atacantes do Gwmndy visaram os roteadores Fiberhome e adicionaram 200 roteadores por dia ao seu botnet, parando depois de atingir esse número, de acordo com 360 pesquisadores da Netlab .
Em vez de usar o botnet para ataques DDoS, criptojacking, envio de spam ou roubo de dados, os operadores de botnet Gwmndy pareciam usar os roteadores para nós de proxy de tunelamento SSH e criar um serviço de proxy SOCKS5 localmente.
Abuso de invasores de ransomware SOCKS Proxies
Os atacantes de ransomware também usam proxies SOCKS. O ransomware QNAPCrypt, que se concentrava na infecção de dispositivos Linux de armazenamento conectados à rede, explorou métodos de autenticação usados por empresas para estabelecer conexões por meio de um proxy SOCKS5, de acordo com pesquisadores do Intezer .
Central para o ataque de ransomware QNAPCrypt de vários estágios é um proxy SOCKS5. Primeiro, o ransomware se conecta a um proxy SOCKS5. O proxy solicita as chaves de configuração da vítima para recuperar o cliente ransomware de um domínio Onion. Ele recupera uma chave pública RSA, uma carteira Bitcoin exclusiva e uma nota de resgate do domínio Onion. Depois de passar pelo proxy SOCKS5 novamente, o ransomware continua a criptografar os sistemas da vítima usando as chaves recuperadas.
Enquanto a maioria dos ataques de ransomware tem como alvo sistemas Windows, QNAPCrypt se junta a uma lista crescente de ransomware que perseguem sistemas baseados em Linux.
Cloud Snooper e proxies SOCKS
O malware Cloud Snooper usa um proxy SOCKS para contornar firewalls na infraestrutura de nuvem. O malware, um trojan backdoor, pode ser executado como uma ferramenta de linha de comando e como um daemon.
O Cloud Snooper abre serviços HTTP ou DNS (sistema de nomes de domínio) em um sistema infectado e permite o encapsulamento de tráfego, operando tanto como servidor proxy SOCKS5 reverso quanto cliente, explicam os pesquisadores da SophosLabs . O servidor proxy SOCKS5 usado pelo malware é baseado na implementação do proxy sSOCKS de código aberto .
Além disso, o malware Nodersok sem arquivo explorou um proxy SOCKS para comprometer milhares de PCs no ano passado. O malware instala primeiro um aplicativo HTML (HTA) no computador de destino, que executa os arquivos HTA e explora scripts do Excel, JavaScript e PowerShell.
O malware então abusa do Node.js e do WinDivert para iniciar um proxy SOCKS4 nos computadores infectados. Isso os transforma em proxies para enviar tráfego malicioso. Em seguida, o malware se conecta ao servidor de comando e controle do invasor. O servidor usa o protocolo SOCKS4 para enviar uma solicitação HTTP ao cliente. O cliente faz o proxy da solicitação para o site e retorna a resposta e a página HTML para o servidor.
Usar o proxy SOCKS e outros componentes furtivos permite que o malware “voe sob o radar” por um tempo. Portanto, é melhor usar autenticação forte para diminuir o risco de que os proxies SOCKS sejam sequestrados por invasores.
Fonte: https://securityintelligence.com/articles/what-is-socks-proxy-exploit/
