TeamTNT হুমকি গোষ্ঠীর একজন সদস্যের দ্বারা একটি আপাত অপারেশনাল নিরাপত্তা স্লিপ-আপ খারাপভাবে কনফিগার করা ডকার সার্ভারগুলিকে কাজে লাগানোর জন্য ব্যবহার করা কৌশলগুলির কিছু প্রকাশ করেছে।
ট্রেন্ড মাইক্রোর নিরাপত্তা গবেষকরা সম্প্রতি একটি এক্সপোজড ডকার REST API সহ একটি হানিপট সেট আপ করেছেন এবং বোঝার চেষ্টা করেছেন যে কীভাবে হুমকি অভিনেতারা বহুল ব্যবহৃত ক্লাউড কন্টেইনার প্ল্যাটফর্মে দুর্বলতা এবং ভুল কনফিগারেশনকে কাজে লাগাচ্ছে। তারা টিমটিএনটি আবিষ্কার করেছে - একটি গ্রুপ যার জন্য পরিচিত এর ক্লাউড-নির্দিষ্ট প্রচারণা - এর ডকার হানিপটকে কাজে লাগানোর জন্য কমপক্ষে তিনটি প্রচেষ্টা করা।
"আমাদের একটি হানিপটে, আমরা ইচ্ছাকৃতভাবে REST API-এর উপর উন্মোচিত ডকার ডেমনের সাথে একটি সার্ভার উন্মুক্ত করেছিলাম," ট্রেন্ড মাইক্রো-এর হুমকি গবেষণা প্রকৌশলী নিতেশ সুরানা বলেছেন৷ "হুমকি অভিনেতারা ভুল কনফিগারেশন খুঁজে পেয়েছিল এবং জার্মানি ভিত্তিক আইপি থেকে এটি তিনবার ব্যবহার করেছে, যেখানে তারা তাদের ডকারহাব রেজিস্ট্রিতে লগ ইন করেছিল," সুরানা বলেছেন। "আমাদের পর্যবেক্ষণের উপর ভিত্তি করে, আক্রমণকারীর অনুপ্রেরণা ছিল ডকার REST API শোষণ করা এবং ক্রিপ্টোজ্যাকিং সম্পাদন করার জন্য অন্তর্নিহিত সার্ভারের সাথে আপস করা।"
নিরাপত্তা বিক্রেতা এর কার্যকলাপের বিশ্লেষণ অবশেষে অন্তত দুটি ডকারহাব অ্যাকাউন্টের জন্য প্রমাণপত্র উন্মোচনের দিকে পরিচালিত করে যেগুলি টিমটিএনটি নিয়ন্ত্রিত করেছিল (গোষ্ঠীটি ডকারহাব ফ্রি কন্টেইনার রেজিস্ট্রি পরিষেবার অপব্যবহার করছিল) এবং মুদ্রা খনি সহ বিভিন্ন দূষিত পেলোড বিতরণ করতে ব্যবহার করছিল।
অ্যাকাউন্টগুলির মধ্যে একটি ("আলপিনোস" নামে) একটি দূষিত কন্টেইনার ইমেজ হোস্ট করেছে যাতে রুটকিট, ডকার কন্টেইনার এস্কেপের জন্য কিট, XMRig মনেরো কয়েন মাইনার, ক্রেডেনশিয়াল স্টিলার এবং কুবারনেটস এক্সপ্লয়েট কিট রয়েছে৷
ট্রেন্ড মাইক্রো আবিষ্কার করেছে যে দূষিত ছবিটি 150,000 বারের বেশি ডাউনলোড করা হয়েছে, যা সংক্রমণের বিস্তৃত অংশে অনুবাদ করতে পারে।
অন্য অ্যাকাউন্টে (sandeep078) একই রকম ক্ষতিকারক কন্টেইনার ইমেজ হোস্ট করেছে কিন্তু আগেরটির তুলনায় অনেক কম "টান" ছিল - প্রায় 200টি -। ট্রেন্ড মাইক্রো তিনটি পরিস্থিতির দিকে নির্দেশ করেছে যার ফলে সম্ভবত টিমটিএনটি ডকার রেজিস্ট্রি অ্যাকাউন্টের শংসাপত্রগুলি ফাঁস হয়েছে৷ এর মধ্যে ডকারহাব অ্যাকাউন্ট থেকে লগআউট করতে ব্যর্থতা বা তাদের মেশিনগুলি স্ব-সংক্রমিত হওয়া অন্তর্ভুক্ত।
ক্ষতিকারক ক্লাউড ধারক চিত্র: একটি দরকারী বৈশিষ্ট্য
ডেভেলপাররা প্রায়ই ডকার ডেমনকে এর REST API এর উপর প্রকাশ করে যাতে তারা কন্টেইনার তৈরি করতে পারে এবং দূরবর্তী সার্ভারে ডকার কমান্ড চালাতে পারে। যাইহোক, যদি দূরবর্তী সার্ভারগুলি সঠিকভাবে কনফিগার করা না হয় - উদাহরণস্বরূপ, তাদের সর্বজনীনভাবে অ্যাক্সেসযোগ্য করে - আক্রমণকারীরা সার্ভারগুলিকে শোষণ করতে পারে, সুরানা বলেছেন।
এই দৃষ্টান্তগুলিতে, হুমকি অভিনেতারা ক্ষতিকারক স্ক্রিপ্টগুলি সম্পাদন করে এমন চিত্রগুলি থেকে আপস করা সার্ভারে একটি ধারক ঘোরাতে পারে। সাধারণত, এই দূষিত ছবিগুলি ডকারহাব, অ্যামাজন ইলাস্টিক কন্টেইনার রেজিস্ট্রি (ইসিআর) এবং আলিবাবা কন্টেইনার রেজিস্ট্রির মতো কন্টেইনার রেজিস্ট্রিতে হোস্ট করা হয়। আক্রমণকারীরাও ব্যবহার করতে পারে আপস করা অ্যাকাউন্ট এই রেজিস্ট্রিগুলিতে দূষিত চিত্রগুলি হোস্ট করতে, অথবা তারা তাদের নিজস্ব প্রতিষ্ঠা করতে পারে, ট্রেন্ড মাইক্রো পূর্বে উল্লেখ করেছে। আক্রমণকারীরা তাদের নিজস্ব ব্যক্তিগত কন্টেইনার রেজিস্ট্রিতে দূষিত ছবি হোস্ট করতে পারে।
একটি দূষিত ছবি থেকে তৈরি কন্টেইনারগুলি বিভিন্ন দূষিত কার্যকলাপের জন্য ব্যবহার করা যেতে পারে, সুরানা নোট করে। "যখন ডকার চালিত একটি সার্ভারের ডকার ডেমন সর্বজনীনভাবে REST API-এর মাধ্যমে প্রকাশ করা হয়, তখন আক্রমণকারী আক্রমণকারী-নিয়ন্ত্রিত চিত্রগুলির উপর ভিত্তি করে হোস্টের উপর অপব্যবহার এবং কন্টেইনার তৈরি করতে পারে," তিনি বলেছেন।
সাইবারট্যাকার পেলোড বিকল্পের আধিক্য
এই চিত্রগুলিতে ক্রিপ্টোমাইনার, এক্সপ্লয়েট কিট, কন্টেইনার এস্কেপ টুল, নেটওয়ার্ক এবং গণনার সরঞ্জাম থাকতে পারে। "আক্রমণকারীরা এই কন্টেইনারগুলি ব্যবহার করে পরিবেশের মধ্যে ক্রিপ্টো-জ্যাকিং, পরিষেবা অস্বীকার, পার্শ্বীয় আন্দোলন, বিশেষাধিকার বৃদ্ধি এবং অন্যান্য কৌশলগুলি সম্পাদন করতে পারে," বিশ্লেষণ অনুসারে।
“ডকারের মতো ডেভেলপার-কেন্দ্রিক সরঞ্জামগুলি ব্যাপকভাবে অপব্যবহার করা হয়েছে বলে জানা গেছে। অ্যাক্সেস এবং শংসাপত্র ব্যবহারের জন্য নীতি তৈরি করার পাশাপাশি তাদের পরিবেশের হুমকি মডেল তৈরি করে [বিকাশকারীদের] ব্যাপকভাবে শিক্ষিত করা গুরুত্বপূর্ণ,” সুরানা উকিল৷
সংস্থাগুলিকে নিশ্চিত করতে হবে যে কন্টেইনার এবং APIগুলি সর্বদা সঠিকভাবে কনফিগার করা হয়েছে তা নিশ্চিত করার জন্য যাতে শোষণগুলি হ্রাস করা হয়৷ এর মধ্যে রয়েছে নিশ্চিত করা যে সেগুলি শুধুমাত্র অভ্যন্তরীণ নেটওয়ার্ক বা বিশ্বস্ত উত্স দ্বারা অ্যাক্সেসযোগ্য৷ উপরন্তু, তাদের নিরাপত্তা জোরদার করার জন্য ডকারের নির্দেশিকা অনুসরণ করা উচিত। "ব্যবহারকারীর শংসাপত্রগুলিকে লক্ষ্য করে দূষিত ওপেন সোর্স প্যাকেজগুলির ক্রমবর্ধমান সংখ্যার সাথে," সুরানা বলেছেন, "ব্যবহারকারীদের ফাইলগুলিতে শংসাপত্র সংরক্ষণ করা এড়াতে হবে৷ পরিবর্তে, তাদের শংসাপত্রের দোকান এবং সাহায্যকারীর মতো সরঞ্জামগুলি বেছে নেওয়ার পরামর্শ দেওয়া হয়।"
