Under Attack: Cómo los actores de amenazas están explotando los proxies SOCKS

Un proxy SOCKS puede usarse para mejorar la seguridad de la red en una empresa, pero también puede ser aprovechado por los ciberdelincuentes. En un ataque reciente, la botnet Dark Nexus de Internet de las cosas (IoT) pudo incorporar un proxy SOCKS en un esquema que ofrecía ataques distribuidos de denegación de servicio (DDoS) para […]

Un proxy SOCKS puede usarse para mejorar la seguridad de la red en una empresa, pero también puede ser aprovechado por los ciberdelincuentes.

En un ataque reciente, la botnet Dark Nexus de Internet de las cosas (IoT) pudo incorporar un proxy SOCKS en un esquema que ofrecía ataques distribuidos de denegación de servicio (DDoS) para servicios de alquiler. 

Los atacantes Dark Nexus infectan los dispositivos IoT y luego ejecutan un proxy SOCKS5 en un puerto elegido al azar que se conecta con el servidor de comando y control como parte del registro, según un análisis de Bitdefender.

Los investigadores de Bitdefender creen que los atacantes están vendiendo acceso a los proxies SOCKS5 en un foro clandestino. Sin embargo, no tienen evidencia directa que apoye esta creencia.

Además, la botnet Gwmndy abusó de los servidores proxy SOCKS. Los atacantes de Gwmndy apuntaron a los enrutadores Fiberhome y agregaron 200 enrutadores por día a su botnet, deteniéndose después de alcanzar ese número, según los investigadores de 360 ​​Netlab .

En lugar de utilizar la red de bots para ataques DDoS, cryptojacking, enviar spam o robar datos, los operadores de la red de bots de Gwmndy parecían utilizar los enrutadores para los nodos proxy de túnel SSH y crear un servicio proxy SOCKS5 localmente.

Los atacantes de ransomware abusan de los proxies de SOCKS

Los atacantes de ransomware también utilizan proxies SOCKS. El ransomware QNAPCrypt, que se centró en infectar dispositivos Linux de almacenamiento conectados a la red, explotó los métodos de autenticación utilizados por las empresas para establecer conexiones a través de un proxy SOCKS5, según los investigadores de Intezer.

Un elemento central del ataque de ransomware QNAPCrypt de varias etapas es un proxy SOCKS5. Primero, el ransomware se conecta a un proxy SOCKS5. El proxy solicita las claves de configuración de la víctima para recuperar el cliente ransomware de un dominio de Onion. Recupera una clave pública RSA, una billetera Bitcoin única y una nota de rescate del dominio Onion. Después de volver a pasar por el proxy SOCKS5, el ransomware procede a cifrar los sistemas de la víctima utilizando las claves recuperadas.

Si bien la mayoría de los ataques de ransomware se dirigen a los sistemas Windows, QNAPCrypt se une a una lista creciente de ransomware que persigue a los sistemas basados ​​en Linux.

Proxies de Cloud Snooper y SOCKS

El malware Cloud Snooper utiliza un proxy SOCKS para eludir los firewalls en la infraestructura de la nube. El malware, un troyano de puerta trasera, se puede ejecutar como una herramienta de línea de comandos y como un demonio.

Cloud Snooper abre HTTP o servicios de sistema de nombres de dominio (DNS) en un sistema infectado y habilita el túnel de tráfico, operando como un servidor proxy SOCKS5 inverso y como cliente, explican los investigadores de SophosLabs. El servidor proxy SOCKS5 utilizado por el malware se basa en la implementación del proxy sSOCKS de código abierto.

Además, el malware Nodersok sin archivos aprovechó un proxy SOCKS para poner en peligro miles de PC el año pasado. El malware primero instala una aplicación HTML (HTA) en la computadora de destino, que ejecuta los archivos HTA y explota los scripts de Excel, JavaScript y PowerShell.

Luego, el malware abusa de Node.js y WinDivert para iniciar un proxy SOCKS4 en las computadoras infectadas. Esto los convierte en proxies para enviar tráfico malicioso. A continuación, el malware se conecta al servidor de control y comando de los atacantes. El servidor utiliza el protocolo SOCKS4 para enviar una solicitud HTTP al cliente. El cliente envía la solicitud al sitio web y devuelve la respuesta y la página HTML al servidor.

El uso del proxy SOCKS y otros componentes sigilosos permite que el malware “vuele bajo el radar” durante un tiempo. Por lo tanto, es mejor utilizar una autenticación sólida para reducir el riesgo de que los atacantes se apropien de los proxies SOCKS.