En tilsyneladende driftssikkerhedsfejl fra et medlem af TeamTNT-trusselsgruppen har afsløret nogle af de taktikker, den bruger til at udnytte dårligt konfigurerede Docker-servere.
Sikkerhedsforskere fra Trend Micro har for nylig oprettet en honeypot med en blotlagt Docker REST API for at prøve at forstå, hvordan trusselsaktører generelt udnytter sårbarheder og fejlkonfigurationer i den meget brugte cloud-containerplatform. De opdagede TeamTNT - en gruppe kendt for sine cloud-specifikke kampagner — at gøre mindst tre forsøg på at udnytte sin Docker honeypot.
"På en af vores honeypots havde vi med vilje afsløret en server med Docker Daemon eksponeret over REST API," siger Nitesh Surana, trusselsforskningsingeniør hos Trend Micro. "Trusselsaktørerne fandt fejlkonfigurationen og udnyttede den tre gange fra IP'er baseret i Tyskland, hvor de var logget ind på deres DockerHub-registrering," siger Surana. "Baseret på vores observation var angriberens motivation at udnytte Docker REST API og kompromittere den underliggende server til at udføre cryptojacking."
Sikkerhedsleverandørens analyse af aktiviteten førte til sidst til afsløring af legitimationsoplysninger for mindst to DockerHub-konti, som TeamTNT kontrollerede (gruppen misbrugte DockerHubs gratis Container Registry-tjenester) og brugte til at distribuere en række ondsindede nyttelaster, inklusive møntminearbejdere.
En af konti (med navnet "alpineos") var vært for et ondsindet containerbillede indeholdende rootkits, kits til Docker container escape, XMRig Monero coin miner, credential tyvere og Kubernetes exploit kits.
Trend Micro opdagede, at det ondsindede billede var blevet downloadet mere end 150,000 gange, hvilket kunne udmønte sig i en lang række infektioner.
Den anden konto (sandeep078) var vært for et lignende ondsindet containerbillede, men havde langt færre "træk" - kun omkring 200 - sammenlignet med førstnævnte. Trend Micro pegede på tre scenarier, der sandsynligvis resulterede i lækage af TeamTNT Docker-registreringskontoens legitimationsoplysninger. Disse omfatter en fejl ved at logge ud fra DockerHub-kontoen, eller at deres maskiner er selvinficerede.
Malicious Cloud Container Images: En nyttig funktion
Udviklere eksponerer ofte Docker-dæmonen over dens REST API, så de kan oprette containere og køre Docker-kommandoer på fjernservere. Men hvis fjernserverne ikke er korrekt konfigureret - for eksempel ved at gøre dem offentligt tilgængelige - kan angribere udnytte serverne, siger Surana.
I disse tilfælde kan trusselsaktører spinne en container op på den kompromitterede server fra billeder, der udfører ondsindede scripts. Typisk hostes disse ondsindede billeder på containerregistre såsom DockerHub, Amazon Elastic Container Registry (ECR) og Alibaba Container Registry. Angribere kan bruge begge dele kompromitterede konti på disse registre for at være vært for de ondsindede billeder, eller de kan etablere deres egne, har Trend Micro tidligere bemærket. Angribere kan også hoste ondsindede billeder på deres eget private containerregister.
Beholdere, der er spundet op fra et ondsindet billede, kan bruges til en række ondsindede aktiviteter, bemærker Surana. "Når en server, der kører Docker, har sin Docker Daemon offentligt eksponeret over REST API, kan en angriber misbruge og skabe containere på værten baseret på angriber-kontrollerede billeder," siger han.
Et væld af cyberattacker-nyttelastmuligheder
Disse billeder kan indeholde kryptominere, udnyttelsessæt, containerescape-værktøjer, netværk og optællingsværktøjer. "Angribere kunne udføre krypto-jacking, lammelsesangreb, lateral bevægelse, privilegieeskalering og andre teknikker i miljøet ved at bruge disse containere," ifølge analysen.
"Udviklercentrerede værktøjer som Docker har været kendt for at blive misbrugt i vid udstrækning. Det er vigtigt at uddanne [udviklere] som helhed ved at skabe politikker for adgang og brug af legitimationsoplysninger, samt generere trusselsmodeller for deres miljøer,” fortaler Surana.
Organisationer bør også sikre, at containere og API'er altid er korrekt konfigureret for at sikre, at udnyttelser minimeres. Dette inkluderer at sikre, at de kun er tilgængelige via det interne netværk eller af betroede kilder. Derudover bør de følge Dockers retningslinjer for at styrke sikkerheden. "Med det stigende antal ondsindede open source-pakker rettet mod brugeroplysninger," siger Surana, "bør brugere undgå at gemme legitimationsoplysninger i filer. I stedet rådes de til at vælge værktøjer såsom legitimationsbutikker og hjælpere."
