En el perpetuo juego del gato y el ratón que es la ciberseguridad, los actores de amenazas constantemente buscan nuevas formas de explotar funcionalidades legítimas del sistema operativo para lograr sus objetivos. Una de las tácticas más insidiosas y efectivas, y a menudo pasada por alto, implica la manipulación de la configuración del proxy del sistema. Esta breve publicación profundiza en como el malware secuestra esta función aparentemente innocua para evadir defensas corporativas, establecer canales de comunicación encubiertos y propagarse por la red, convirtiendo cada sistema comprometido en un punto de contacto para operaciones más devastadoras.

La brecha silenciosa: Proxy de Dominio vs. Proxy del Sistema

Las organizaciones implementan proxies a nivel de dominio a través de Políticas de Grupo (GPOs) para centralizar y forzar todo el tráfico web a través de un punto de inspección y control. 1. Este es el pilar de la seguridad perimetral, permitiendo el filtrado de contenido, la inspección de tráfico y la prevención de pérdida de datos. Sin embargo, paralelamente a esta estructura controlada, existe la configuración del proxy a nivel de sistema local, a menudo accesible para el usuario o para procesos con privilegios suficientes. Es aquí donde el malware encuentra su oportunidad. Al modificar claves específicas del Registro de Windows, como 'ProxyEnable' y 'ProxyServer' en  'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings' , el software malicioso puede redirigir el tráfico del sistema infectado hacia servidores controlados por el atacante, eludiendo por completo el proxy corporativo .2 y 3. Esta simple acción crea una brecha directa en la arquitectura de seguridad, violando las políticas organizativas y abriendo un canal de comunicación no supervisado.

Mecanismos de Secuestro: Persistencia y Evasión a Nivel de Registro

La modificación del proxy no es un acto pasivo; el malware emplea técnicas sofisticadas para asegurar su persistencia y evadir la detección. Una vez establecida la configuración maliciosa, algunos tipos de malware van un paso más allá, impidiendo que los usuarios la reviertan. Esto se logra manipulando claves de registro como 'ProxySettingsPerUser', lo que puede deshabilitar la opción de modificar la configuración del proxy a través de la interfaz gráfica de Windows, mostrando el engañoso mensaje de: “Algunas configuraciones son administradas por su administrador del sistema” 4. Además, los mecanismos de persistencia, como la creación de tareas programadas o servicios que restauran la configuración del proxy si es eliminada, aseguran que el canal de comunicación del atacante permanezca abierto. La detección de estas alteraciones es crucial. Herramientas como Sysmon, que monitorizan los cambios en el Registro (Event ID 13), son vitales para alertar a los equipos de seguridad sobre estas modificaciones no autorizadas, que son un claro indicador de compromiso (IoC) .3.

El Proxy como Vector de Propagación y Comando y Control (C2)

Una vez que el malware ha secuestrado la configuración del proxy, lo utiliza para múltiples propósitos maliciosos. El más común es establecer un canal de comunicación con su infraestructura de Comando y Control (C2). Un ejemplo que podemos citar corresponde a la familia de Malware ProxyBack, que convierte los sistemas infectados en nodos proxy sin el consentimiento del usuario. Para superar los firewalls corporativos, ProxyBack implementa un túnel inverso, donde el malware en la víctima inicia una conexión saliente hacia un servidor del atacante, la cual es luego utilizada para enrutar tráfico de vuelta a la red de la víctima o hacia Internet .3. Esto permite a los atacantes usar la conexión de la víctima para actividades ilícitas, ocultando su verdadera IP y origen. Botnets como Socks5Systemz operan de manera similar, convirtiendo en miles de sistemas en nodos de salida proxy para el cibercrimen. 5 y 6.

Movimiento Lateral: El Proxy Interno como puerta de Acceso.

El verdadero peligro de un proxy malicioso se manifiesta en la fase de Movimiento Lateral .7. La técnica MITRE ATT&CK T1090.001 (Proxy: Internal Proxy) describe como los adversarios usan un proxy interno para dirigir el tráfico C2 entre sistemas dentro de un entorno comprometido. 8. Un sistema infectado con un proxy malicioso puede ser utilizado por el atacante como un pivote para acceder a otros segmentos de la red, evitando firewalls internos y otras defensas segmentadas. El uso de un proxy SOCKS inverso es particularmente eficaz para esto, actuando como una puerta trasera sigilosa que permite al atacante navegar por la red interna como si estuvieran localmente presente .10 y 11.

Estudio de Caso: SystemBC, el proxy suizo del Cibercrimen

SystemBC es un claro ejemplo de un malware proxy polifacético y ampliamente utilizado. Distribuido a través de troyanos Emotet o SmokeLoader, SystemBC ha sido un componente clave en campañas de Ransomware de alto perfil, incluyendo las de los grupos Ryuk y DarkSide .12. Tras la infección, SystemBC se asegura de la persistencia creando una tarea programada que se ejecuta cada dos minutos. Se comunica con sus servidores C2 a través de sockets TCP sin formato, a menudo cifrando su tráfico con RC4 y puede descargar y ejecutar payloads adicionales, incluyendo herramientas para el movimiento lateral como PsExec .12. Su capacidad para actuar como un proxy robusto y como un downloader lo convierte en una herramienta ideal para los atacantes que buscan consolidar su acceso y expandir su presencia en la red.

Implicaciones y Estrategias de Defensa:

Las implicaciones de esta táctica son profundas: evasión de controles de seguridad .13, creación de canales de comunicación persistentes y violación de políticas organizacionales. Luego la defensa requiere de un enfoque multifacético:

-          Detección: Monitorizar cambios en el Registro relacionados con el proxy y analizar el tráfico de red en busca de anomalías y User-Agents sospechosos

-          Mitigación: Bloquear la modificación del proxy a nivel de usuario mediante GPOs, segmentar la red, implementar soluciones EDR/XDR y aplicar el principio de mínimo privilegio.

-          Respuesta a Incidentes: Aislar sistemas afectados, recopilar evidencia forense y erradicar el malware por completo

-          Prevención: Mantener sistemas actualizados, formar a los usuarios y adoptar un marco de defensa en profundidad.

Conclusiones

La explotación del proxy del sistema por parte del malware es una técnica demostrablemente efectiva que subvierte las defensas de red desde dentro. No es una amenaza teórica, sino una realidad activa utilizada por actores de amenazas para robar datos, desplegar ransomware y mantener un acceso persistente. La comprensión de este mecanismo es fundamental para cualquier organización que busque fortalecer su postura de seguridad. La vigilancia constante, la aplicación estricta de políticas y una arquitectura de defensa en profundidad son esenciales para mitigar el riesgo que representa este caballo de Troya digital.

1. https://docs.cribl.io/edge/4.5/proxy-config-win/

2. https://security.stackexchange.com/questions/105723/why-does-malware-modify-proxy-settings

3. https://research.splunk.com/endpoint/b27f20bd-ef20-41d1-a1e9-25dedd5bf2f5/

4. https://minkatec.com/malware-creates-hidden-proxy-some-settings-are-managed-by-your-system-adminstrator/

5. https://unit42.paloaltonetworks.com/proxyback-malware-turns-user-systems-into-proxies-without-consent

6. https://www.bitsight.com/blog/proxyam-powered-socks5systemz-botnet

7. https://www.darktrace.com/blog/socks5systemz-how-darktraces-anomaly-detection-unraveled-a-stealthy-botnet

8. https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/lateral-movement/

9. https://attack.mitre.org/techniques/T1090/001/

10. alytics.com/how-to-leverage-internal-proxies-for-lateral-movement-firewall-evasion-and-trust-exploitation/

11. https://medium.com/@laurent.mandine/%EF%B8%8F-breaking-down-reverse-socks-proxy-the-silent-attackers-gateway-5b8814eb12e9

12.  https://asec.ahnlab.com/en/33600/

13.  https://security.stackexchange.com/questions/200946/what-are-the-pitfalls-of-bypassing-a-proxy-to-access-cloud-services-such-as-g-su