ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > క్రిప్టోకరెన్సీ మైనర్లను పంపిణీ చేయడానికి యాజమాన్యం లేని డాకర్ API మరియు సంఘం నుండి పబ్లిక్ ఇమేజ్లు ఎలా ఉపయోగించబడుతున్నాయి
క్రిప్టోకరెన్సీ మైనర్లను పంపిణీ చేయడానికి యాజమాన్యం లేని డాకర్ API మరియు సంఘం నుండి పబ్లిక్ ఇమేజ్లు ఎలా ఉపయోగించబడుతున్నాయి
మేము బెదిరింపులను ట్రాక్ చేయడానికి సృష్టించిన హనీపాట్ కంటైనర్లను ఉపయోగించి సేకరించిన డేటాను విశ్లేషించాము. మరియు మేము డాకర్ హబ్లో కమ్యూనిటీ ప్రచురించిన చిత్రాన్ని ఉపయోగించి అవాంఛిత లేదా అనధికార క్రిప్టోకరెన్సీ మైనర్ల నుండి రోగ్ కంటైనర్ల వలె ముఖ్యమైన కార్యాచరణను గుర్తించాము. హానికరమైన క్రిప్టోకరెన్సీ మైనర్లను అందించే సేవలో భాగంగా చిత్రం ఉపయోగించబడుతుంది.
అదనంగా, నెట్వర్క్లతో పని చేసే ప్రోగ్రామ్లు ఓపెన్ పొరుగు కంటైనర్లు మరియు అప్లికేషన్లను చొచ్చుకుపోయేలా ఇన్స్టాల్ చేయబడతాయి.
మేము మా హనీపాట్లను అలాగే వదిలివేస్తాము, అంటే డిఫాల్ట్ సెట్టింగ్లతో, ఎటువంటి భద్రతా చర్యలు లేకుండా లేదా తదుపరి అదనపు సాఫ్ట్వేర్ ఇన్స్టాలేషన్ లేకుండా. లోపాలు మరియు సాధారణ దుర్బలత్వాలను నివారించడానికి డాకర్ ప్రారంభ సెటప్ కోసం సిఫార్సులను కలిగి ఉందని దయచేసి గమనించండి. కానీ ఉపయోగించిన హనీపాట్లు కంటైనర్లు, కంటైనర్ ప్లాట్ఫారమ్ను లక్ష్యంగా చేసుకుని దాడులను గుర్తించడానికి రూపొందించబడ్డాయి, కంటైనర్లలోని అప్లికేషన్లు కాదు.
గుర్తించబడిన హానికరమైన కార్యకలాపం కూడా గుర్తించదగినది ఎందుకంటే దీనికి దుర్బలత్వాలు అవసరం లేదు మరియు డాకర్ వెర్షన్ నుండి స్వతంత్రంగా ఉంటుంది. తప్పుగా కాన్ఫిగర్ చేయబడిన, అందువల్ల ఓపెన్, కంటైనర్ ఇమేజ్ని కనుగొనడం దాడి చేసేవారు అనేక ఓపెన్ సర్వర్లను ఇన్ఫెక్ట్ చేయడానికి అవసరం.
అన్క్లోజ్డ్ డాకర్ API వినియోగదారుని విస్తృత శ్రేణిని నిర్వహించడానికి అనుమతిస్తుంది జట్లు, నడుస్తున్న కంటైనర్ల జాబితాను పొందడం, నిర్దిష్ట కంటైనర్ నుండి లాగ్లను పొందడం, ప్రారంభించడం, నిలిపివేయడం (బలవంతంగా సహా) మరియు నిర్దిష్ట సెట్టింగ్లతో నిర్దిష్ట చిత్రం నుండి కొత్త కంటైనర్ను సృష్టించడం వంటి వాటితో సహా.
ఎడమవైపు మాల్వేర్ డెలివరీ పద్ధతి ఉంది. కుడి వైపున దాడి చేసేవారి పర్యావరణం ఉంది, ఇది చిత్రాల నుండి రిమోట్ రోలింగ్ను అనుమతిస్తుంది.
3762 ఓపెన్ డాకర్ APIల దేశం వారీగా పంపిణీ. 12.02.2019/XNUMX/XNUMX నాటి షోడాన్ శోధన ఆధారంగా
దాడి గొలుసు మరియు పేలోడ్ ఎంపికలు
హానికరమైన కార్యాచరణ హనీపాట్ల సహాయంతో మాత్రమే కనుగొనబడింది. Monero క్రిప్టోకరెన్సీ మైనింగ్ సాఫ్ట్వేర్ని అమలు చేయడానికి వంతెనగా ఉపయోగించిన తప్పుగా కాన్ఫిగర్ చేయబడిన కంటైనర్ను మేము పరిశోధించినప్పటి నుండి బహిర్గతమైన డాకర్ APIల సంఖ్య (రెండవ గ్రాఫ్ చూడండి) పెరిగినట్లు షోడాన్ నుండి డేటా చూపిస్తుంది. గత సంవత్సరం అక్టోబర్లో (2018, ప్రస్తుత డేటా మీరు ఇలా చూడవచ్చుసుమారు అనువాదకుడు) 856 ఓపెన్ APIలు మాత్రమే ఉన్నాయి.
హనీపాట్ లాగ్ల పరిశీలనలో కంటైనర్ ఇమేజ్ వినియోగం కూడా ఉపయోగంతో ముడిపడి ఉందని తేలింది ngrok, సురక్షిత కనెక్షన్లను ఏర్పాటు చేయడానికి లేదా పబ్లిక్గా యాక్సెస్ చేయగల పాయింట్ల నుండి నిర్దిష్ట చిరునామాలు లేదా వనరులకు ట్రాఫిక్ను ఫార్వార్డ్ చేయడానికి ఒక సాధనం (ఉదాహరణకు లోకల్ హోస్ట్). ఇది ఓపెన్ సర్వర్కు పేలోడ్ను డెలివరీ చేసేటప్పుడు దాడి చేసేవారిని డైనమిక్గా URLలను సృష్టించడానికి అనుమతిస్తుంది. ngrok సేవ యొక్క దుర్వినియోగాన్ని చూపుతున్న లాగ్ల నుండి కోడ్ ఉదాహరణలు క్రింద ఉన్నాయి:
మీరు గమనిస్తే, అప్లోడ్ చేయబడిన ఫైల్లు నిరంతరం మారుతున్న URLల నుండి డౌన్లోడ్ చేయబడతాయి. ఈ URLలు తక్కువ గడువు తేదీని కలిగి ఉంటాయి, కాబట్టి గడువు తేదీ తర్వాత పేలోడ్లు డౌన్లోడ్ చేయబడవు.
రెండు పేలోడ్ ఎంపికలు ఉన్నాయి. మొదటిది Linux కోసం సంకలనం చేయబడిన ELF మైనర్ (Coinminer.SH.MALXMR.ATNOగా నిర్వచించబడింది) ఇది మైనింగ్ పూల్కి కనెక్ట్ అవుతుంది. రెండవది స్క్రిప్ట్ (TrojanSpy.SH.ZNETMAP.A) నెట్వర్క్ పరిధులను స్కాన్ చేయడానికి మరియు కొత్త లక్ష్యాల కోసం శోధించడానికి ఉపయోగించే నిర్దిష్ట నెట్వర్క్ సాధనాలను పొందేందుకు రూపొందించబడింది.
డ్రాపర్ స్క్రిప్ట్ రెండు వేరియబుల్స్ను సెట్ చేస్తుంది, అవి క్రిప్టోకరెన్సీ మైనర్ను అమలు చేయడానికి ఉపయోగించబడతాయి. HOST వేరియబుల్ హానికరమైన ఫైల్లు ఉన్న URLని కలిగి ఉంటుంది మరియు RIP వేరియబుల్ అనేది మైనర్ యొక్క ఫైల్ పేరు (వాస్తవానికి, హాష్). హాష్ వేరియబుల్ మారిన ప్రతిసారీ HOST వేరియబుల్ మారుతుంది. దాడి చేయబడిన సర్వర్లో ఇతర క్రిప్టోకరెన్సీ మైనర్లు అమలు చేయడం లేదని కూడా స్క్రిప్ట్ తనిఖీ చేయడానికి ప్రయత్నిస్తుంది.
HOST మరియు RIP వేరియబుల్స్కి ఉదాహరణలు, అలాగే ఇతర మైనర్లు అమలు చేయడం లేదని తనిఖీ చేయడానికి ఉపయోగించే కోడ్ స్నిప్పెట్
మైనర్ను ప్రారంభించే ముందు, దాని పేరు nginx గా మార్చబడింది. ఈ స్క్రిప్ట్ యొక్క ఇతర సంస్కరణలు Linux పరిసరాలలో ఉండే ఇతర చట్టబద్ధమైన సేవలకు మైనర్ పేరును మారుస్తాయి. నడుస్తున్న ప్రక్రియల జాబితాకు వ్యతిరేకంగా తనిఖీలను దాటవేయడానికి ఇది సాధారణంగా సరిపోతుంది.
శోధన స్క్రిప్ట్ కూడా లక్షణాలను కలిగి ఉంది. అవసరమైన సాధనాలను అమలు చేయడానికి ఇది అదే URL సేవతో పని చేస్తుంది. వాటిలో zmap బైనరీ ఉంది, ఇది నెట్వర్క్లను స్కాన్ చేయడానికి మరియు ఓపెన్ పోర్ట్ల జాబితాను పొందేందుకు ఉపయోగించబడుతుంది. స్క్రిప్ట్ కనుగొనబడిన సేవలతో పరస్పర చర్య చేయడానికి మరియు కనుగొనబడిన సేవ గురించి అదనపు సమాచారాన్ని (ఉదాహరణకు, దాని సంస్కరణ) గుర్తించడానికి వాటి నుండి బ్యానర్లను స్వీకరించడానికి ఉపయోగించే మరొక బైనరీని కూడా లోడ్ చేస్తుంది.
స్కాన్ చేయడానికి స్క్రిప్ట్ కొన్ని నెట్వర్క్ పరిధులను ముందే నిర్ణయిస్తుంది, అయితే ఇది స్క్రిప్ట్ వెర్షన్పై ఆధారపడి ఉంటుంది. ఇది స్కాన్ను అమలు చేయడానికి ముందు సేవల నుండి లక్ష్య పోర్ట్లను కూడా సెట్ చేస్తుంది-ఈ సందర్భంలో, డాకర్.
సాధ్యమైన లక్ష్యాలు కనుగొనబడిన వెంటనే, బ్యానర్లు వాటి నుండి స్వయంచాలకంగా తీసివేయబడతాయి. స్క్రిప్ట్ సేవలు, అప్లికేషన్లు, భాగాలు లేదా ఆసక్తి ఉన్న ప్లాట్ఫారమ్లపై ఆధారపడి లక్ష్యాలను ఫిల్టర్ చేస్తుంది: Redis, Jenkins, Drupal, MODX, కుబెర్నెటెస్ మాస్టర్, డాకర్ 1.16 క్లయింట్ మరియు Apache CouchDB. స్కాన్ చేయబడిన సర్వర్ వాటిలో దేనికైనా సరిపోలితే, అది టెక్స్ట్ ఫైల్లో సేవ్ చేయబడుతుంది, దాడి చేసేవారు తదుపరి విశ్లేషణ మరియు హ్యాకింగ్ కోసం దీనిని ఉపయోగించవచ్చు. ఈ టెక్స్ట్ ఫైల్లు డైనమిక్ లింక్ల ద్వారా దాడి చేసేవారి సర్వర్లకు అప్లోడ్ చేయబడతాయి. అంటే, ప్రతి ఫైల్కు ప్రత్యేక URL ఉపయోగించబడుతుంది, అంటే తదుపరి యాక్సెస్ కష్టం.
దాడి వెక్టర్ ఒక డాకర్ చిత్రం, ఇది కోడ్ యొక్క తదుపరి రెండు ముక్కలలో చూడవచ్చు.
ఎగువన చట్టబద్ధమైన సేవకు పేరు మార్చబడుతుంది మరియు దిగువన నెట్వర్క్లను స్కాన్ చేయడానికి zmap ఎలా ఉపయోగించబడుతుంది
ఎగువన ముందే నిర్వచించబడిన నెట్వర్క్ పరిధులు ఉన్నాయి, దిగువన డాకర్తో సహా సేవల కోసం శోధించడానికి నిర్దిష్ట పోర్ట్లు ఉన్నాయి.
ఆల్పైన్-కర్ల్ చిత్రం 10 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్లోడ్ చేయబడిందని స్క్రీన్షాట్ చూపిస్తుంది
ఆల్పైన్ లైనక్స్ మరియు కర్ల్ ఆధారంగా, వివిధ ప్రోటోకాల్ల ద్వారా ఫైల్లను బదిలీ చేయడానికి వనరు-సమర్థవంతమైన CLI సాధనం, మీరు నిర్మించవచ్చు. డాకర్ చిత్రం. మీరు మునుపటి చిత్రంలో చూడగలిగినట్లుగా, ఈ చిత్రం ఇప్పటికే 10 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్లోడ్ చేయబడింది. అధిక సంఖ్యలో డౌన్లోడ్లు అంటే ఈ చిత్రాన్ని ఎంట్రీ పాయింట్గా ఉపయోగించడం కావచ్చు; ఈ చిత్రం ఆరు నెలల క్రితం నవీకరించబడింది; వినియోగదారులు ఈ రిపోజిటరీ నుండి ఇతర చిత్రాలను తరచుగా డౌన్లోడ్ చేయలేదు. డాకర్లో ప్రవేశ స్థానం - కంటైనర్ను అమలు చేయడానికి కాన్ఫిగర్ చేయడానికి ఉపయోగించే సూచనల సమితి. ఎంట్రీ పాయింట్ సెట్టింగ్లు తప్పుగా ఉంటే (ఉదాహరణకు, కంటైనర్ ఇంటర్నెట్ నుండి తెరిచి ఉంచబడుతుంది), చిత్రాన్ని దాడి వెక్టర్గా ఉపయోగించవచ్చు. దాడి చేసేవారు తప్పుగా కాన్ఫిగర్ చేయబడిన లేదా తెరిచిన కంటైనర్ను సపోర్ట్ చేయకుండా వదిలేస్తే పేలోడ్ని డెలివరీ చేయడానికి దాన్ని ఉపయోగించవచ్చు.
ఈ చిత్రం (ఆల్పైన్-కర్ల్) కూడా హానికరమైనది కాదని గమనించడం ముఖ్యం, కానీ మీరు పైన చూడగలిగినట్లుగా, ఇది హానికరమైన విధులను నిర్వహించడానికి ఉపయోగించవచ్చు. హానికరమైన కార్యకలాపాలను నిర్వహించడానికి ఇలాంటి డాకర్ చిత్రాలు కూడా ఉపయోగించబడతాయి. మేము డాకర్ని సంప్రదించి, ఈ సమస్యపై వారితో కలిసి పనిచేశాము.
సిఫార్సులు
సరికాని సెట్టింగ్ అవశేషాలు స్థిరమైన సమస్య చాలా కంపెనీలకు, ముఖ్యంగా అమలు చేస్తున్న వారికి DevOps, వేగవంతమైన అభివృద్ధి మరియు డెలివరీపై దృష్టి పెట్టింది. ఆడిటింగ్ మరియు మానిటరింగ్ నియమాలను పాటించాల్సిన అవసరం, డేటా గోప్యతను పర్యవేక్షించాల్సిన అవసరం, అలాగే అవి పాటించకపోవడం వల్ల కలిగే అపారమైన నష్టం వల్ల ప్రతిదీ తీవ్రమవుతుంది. డెవలప్మెంట్ లైఫ్సైకిల్లో సెక్యూరిటీ ఆటోమేషన్ను చేర్చడం వలన మీరు గుర్తించబడని భద్రతా రంధ్రాలను కనుగొనడంలో సహాయపడటమే కాకుండా, కనుగొనబడిన ప్రతి దుర్బలత్వానికి అదనపు సాఫ్ట్వేర్ బిల్డ్లను అమలు చేయడం లేదా అప్లికేషన్ని అమలు చేసిన తర్వాత తప్పుగా కాన్ఫిగరేషన్ చేయడం వంటి అనవసరమైన పనిభారాన్ని తగ్గించడంలో కూడా ఇది మీకు సహాయపడుతుంది.
ఈ కథనంలో చర్చించిన సంఘటన కింది సిఫార్సులతో సహా మొదటి నుండి భద్రతను పరిగణనలోకి తీసుకోవాల్సిన అవసరాన్ని హైలైట్ చేస్తుంది:
సిస్టమ్ నిర్వాహకులు మరియు డెవలపర్ల కోసం: నిర్దిష్ట సర్వర్ లేదా అంతర్గత నెట్వర్క్ నుండి అభ్యర్థనలను మాత్రమే ఆమోదించడానికి ప్రతిదీ కాన్ఫిగర్ చేయబడిందని నిర్ధారించుకోవడానికి ఎల్లప్పుడూ మీ API సెట్టింగ్లను తనిఖీ చేయండి.
కనీస హక్కుల సూత్రాన్ని అనుసరించండి: కంటైనర్ చిత్రాలు సంతకం చేయబడి మరియు ధృవీకరించబడిందని నిర్ధారించుకోండి, క్లిష్టమైన భాగాలకు (కంటైనర్ లాంచ్ సర్వీస్) యాక్సెస్ను పరిమితం చేయండి మరియు నెట్వర్క్ కనెక్షన్లకు ఎన్క్రిప్షన్ను జోడించండి.
కంటైనర్లో నడుస్తున్న ప్రక్రియల గురించి అదనపు సమాచారాన్ని పొందడానికి రన్టైమ్లు మరియు చిత్రాల స్వయంచాలక స్కానింగ్ను ఉపయోగించండి (ఉదాహరణకు, స్పూఫింగ్ను గుర్తించడానికి లేదా దుర్బలత్వాలను శోధించడానికి). అప్లికేషన్ నియంత్రణ మరియు సమగ్రత పర్యవేక్షణ సర్వర్లు, ఫైల్లు మరియు సిస్టమ్ ప్రాంతాలకు అసాధారణ మార్పులను ట్రాక్ చేయడంలో సహాయపడతాయి.
Trendmicro DevOps బృందాలు సురక్షితంగా నిర్మించడానికి, త్వరగా విడుదల చేయడానికి మరియు ఎక్కడైనా ప్రారంభించడంలో సహాయపడుతుంది. ట్రెండ్ మైక్రో హైబ్రిడ్ క్లౌడ్ సెక్యూరిటీ సంస్థ యొక్క DevOps పైప్లైన్లో శక్తివంతమైన, క్రమబద్ధీకరించబడిన మరియు స్వయంచాలక భద్రతను అందిస్తుంది మరియు బహుళ ముప్పు రక్షణలను అందిస్తుంది XGen రన్టైమ్లో భౌతిక, వర్చువల్ మరియు క్లౌడ్ వర్క్లోడ్లను రక్షించడానికి. ఇది కంటైనర్ భద్రతను కూడా జోడిస్తుంది లోతైన భద్రత и డీప్ సెక్యూరిటీ స్మార్ట్ చెక్, ఇది డెవలప్మెంట్ పైప్లైన్లో ఏ సమయంలోనైనా మాల్వేర్ మరియు దుర్బలత్వాల కోసం డాకర్ కంటైనర్ చిత్రాలను స్కాన్ చేస్తుంది, వాటిని అమలు చేయడానికి ముందు బెదిరింపులను నివారించడానికి.
ఆఫ్ డాకర్ వీడియో కోర్సు ప్రాక్టీస్ చేసే స్పీకర్లు సంభావ్యతను తగ్గించడానికి లేదా పైన వివరించిన పరిస్థితిని పూర్తిగా నివారించడానికి ముందుగా ఏ సెట్టింగ్లు చేయాలో చూపుతాయి. మరియు ఆగస్టు 19-21 తేదీలలో ఆన్లైన్ ఇంటెన్సివ్లో DevOps సాధనాలు & చీట్స్ మీరు ఇలాంటి భద్రతా సమస్యలను సహోద్యోగులతో మరియు ప్రాక్టీస్ చేసే ఉపాధ్యాయులతో రౌండ్ టేబుల్లో చర్చించవచ్చు, ఇక్కడ ప్రతి ఒక్కరూ మాట్లాడవచ్చు మరియు అనుభవజ్ఞులైన సహోద్యోగుల బాధలు మరియు విజయాలను వినవచ్చు.