Proxyjacking

Proxyjackingは手法の名前で、新しいものではありません。
名前の示す通り、Proxyをハイジャックします。
このProxyjackingの新しいキャンペーンが観測されています。

観測された新しいProxyjackingは、これまで確認されているProxyjackingよりも、もっと巧妙に隠れるように実装されているものでした。
次のように展開していきます。

• 脆弱なsshサーバを発見する
  これが入口となります。

   

• sshサーバにログインする
  ブルートフォース攻撃するなどし、ssh接続を確立します。

   

• 暗号化されたbashスクリプトを実行する
  スクリプトは二重に暗号化されています。
  これを実行すると、ファイルのダウンロードが動作します。

   

• curlをダウンロードする
  curlはClient for URLです。
  コマンド実行した端末をクライアントとしてURLで指定した端末に対してデータを送信し、その応答となるデータを受信するコマンドです。
  多くのUNIX系OSで利用されています。
  これをダウンロードします。
  ここで入手されるのは、悪意ある改造が実施されたcurlではなく、完全に普通のcurlです。
  このため、このcurlのダウンロードを有害なものとして認識することは通常できません。

   

• ファイル置き場を探す
  次にスクリプトはファイルを置くことのできる場所を探します。
  一時ファイルを置くことのできる場所を探し、それが発見できなかった場合は活動は終了されます。

   

• 自分の動作を確認する
  自分自身の機構がすでに動作しているかを確認します。
  自分が動作していれば、そのままそっとしておきます。

   

• 自分でないものを終了する
  この攻撃では主体となる部分がdockerコンテナとして動作します。
  この攻撃では、侵害先のリソースを盗む内容となっていますので、他に帯域幅を共有するコンテナが動作していることは邪魔になります。
  その他のコンテナを認識すると、それを終わらせます。

   

• 自分用のコンテナを開始する
  帯域幅を共有するコンテナを取得して動作させます。

ここまで来ても何のことかわからないかもしれません。
Peer2Profitとか、Honeygainとかというものをご存じですか？
この2つは、どちらもいわゆるお小遣い稼ぎのできる仕組みです。
自宅環境にしてもスマホにしても、いまどきは一定の通信ができるようになっています。
この通信できる能力の余っている部分をこれらのサービス業者に提供することで、対価を得ようというものになっています。
使っていない部分をお金に変えるものになりますので、いわゆる不労所得ですね。
放置しておくだけで余分なリソースがお金になります。

通常は、これはそのリソースの所有者が自分で実行します。
そしてリソースの所有者が対価を得ます。

ですが、この攻撃キャンペーンではそこが異なります。
どこかの誰かがこういったお小遣い稼ぎをしていたとしましょう。
攻撃者の活動により、リソースの所有者が実行していたお小遣い稼ぎ機構は停止され、攻撃者の利益を生み出すお小遣い稼ぎ機構がいつの間にか代わりに動作しているという話なのです。

この攻撃キャンペーンの嫌なところは、その利用されている機構のほとんどの部分が、正規のものであるというところです。
docker環境を取得するためのcurlは正規のものですし、ダウンロードされるdocker環境も正規のものです。
最終的な動作で異なるのは、お金が入る先が違っているというだけのことなのです。

このキャンペーンでは、入口はsshとなっていました。
過去には入口として脆弱性が悪用されていたこともありました。
どちらにしても、入られてしまうと後はリソースを盗まれてしまうことになります。盗用が開始された後でそれに気が付くことは容易ではありません。

手元環境を妥当な状態に保つことは大事ということですね。

参考記事（外部リンク）：Proxyjacking: The Latest Cybercriminal Side Hustle
www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle