Ein offensichtlicher Verstoß bei der Betriebssicherheit durch ein Mitglied der TeamTNT-Bedrohungsgruppe hat einige der Taktiken aufgedeckt, mit denen das Unternehmen schlecht konfigurierte Docker-Server ausnutzt.
Sicherheitsforscher von Trend Micro haben kürzlich einen Honeypot mit einer offengelegten Docker-REST-API eingerichtet, um zu verstehen, wie Bedrohungsakteure im Allgemeinen Schwachstellen und Fehlkonfigurationen in der weit verbreiteten Cloud-Container-Plattform ausnutzen. Sie entdeckten TeamTNT – eine Gruppe, die dafür bekannt ist seine Cloud-spezifischen Kampagnen – mindestens drei Versuche unternommen, seinen Docker-Honeypot auszunutzen.
„Auf einem unserer Honeypots haben wir absichtlich einen Server mit dem Docker-Daemon über die REST-API offengelegt“, sagt Nitesh Surana, Bedrohungsforschungsingenieur bei Trend Micro. „Die Bedrohungsakteure fanden die Fehlkonfiguration und nutzten sie dreimal von IPs mit Sitz in Deutschland aus, wo sie in ihrer DockerHub-Registrierung angemeldet waren“, sagt Surana. „Unserer Beobachtung nach bestand die Motivation des Angreifers darin, die Docker-REST-API auszunutzen und den zugrunde liegenden Server zu kompromittieren, um Kryptojacking durchzuführen.“
Die des Sicherheitsanbieters Analyse der Aktivität führte schließlich dazu, dass Anmeldeinformationen für mindestens zwei DockerHub-Konten aufgedeckt wurden, die von TeamTNT kontrolliert wurden (die Gruppe missbrauchte die kostenlosen DockerHub-Container-Registrierungsdienste) und zur Verbreitung verschiedener bösartiger Payloads, darunter Coin-Miner, verwendet wurden.
Eines der Konten (mit dem Namen „alpineos“) hostete ein bösartiges Container-Image, das Rootkits, Kits für Docker-Container-Escape, den XMRig-Monero-Coin-Miner, Credential-Stealer und Kubernetes-Exploit-Kits enthielt.
Trend Micro stellte fest, dass das bösartige Bild mehr als 150,000 Mal heruntergeladen wurde, was zu einer Vielzahl von Infektionen führen könnte.
Das andere Konto (sandeep078) hostete ein ähnliches bösartiges Container-Image, hatte jedoch weitaus weniger „Pulls“ – nur etwa 200 – im Vergleich zum ersteren. Trend Micro wies auf drei Szenarien hin, die wahrscheinlich zum Verlust der Anmeldeinformationen des TeamTNT Docker-Registrierungskontos führten. Dazu gehören ein Fehler beim Abmelden vom DockerHub-Konto oder eine Selbstinfektion ihrer Maschinen.
Schädliche Cloud-Container-Bilder: Eine nützliche Funktion
Entwickler stellen den Docker-Daemon häufig über seine REST-API bereit, damit sie Container erstellen und Docker-Befehle auf Remote-Servern ausführen können. Wenn die Remote-Server jedoch nicht ordnungsgemäß konfiguriert sind – beispielsweise indem sie öffentlich zugänglich gemacht werden – können Angreifer die Server ausnutzen, sagt Surana.
In diesen Fällen können Bedrohungsakteure einen Container auf dem kompromittierten Server aus Bildern erstellen, die bösartige Skripte ausführen. Typischerweise werden diese bösartigen Bilder in Container-Registern wie DockerHub, Amazon Elastic Container Registry (ECR) und Alibaba Container Registry gehostet. Angreifer können beides nutzen kompromittierte Konten In diesen Registern können Schadbilder gespeichert werden, oder sie können ihre eigenen erstellen, wie Trend Micro zuvor festgestellt hat. Angreifer können auch bösartige Bilder in ihrer eigenen privaten Container-Registrierung hosten.
Container, die aus einem bösartigen Image erstellt werden, können für eine Vielzahl bösartiger Aktivitäten verwendet werden, stellt Surana fest. „Wenn ein Server, auf dem Docker läuft, seinen Docker-Daemon über die REST-API öffentlich zugänglich macht, kann ein Angreifer den Host missbrauchen und Container auf der Grundlage von vom Angreifer kontrollierten Bildern erstellen“, sagt er.
Eine Vielzahl von Payload-Optionen für Cyberangreifer
Diese Bilder können Kryptominer, Exploit-Kits, Container-Escape-Tools, Netzwerk- und Enumerationstools enthalten. „Angreifer könnten mithilfe dieser Container Krypto-Jacking, Denial-of-Service, Lateral Movement, Privilegieneskalation und andere Techniken innerhalb der Umgebung durchführen“, heißt es in der Analyse.
„Entwicklerzentrierte Tools wie Docker werden bekanntermaßen häufig missbraucht. Es ist wichtig, [Entwickler] insgesamt zu schulen, indem man Richtlinien für den Zugriff und die Verwendung von Anmeldeinformationen erstellt und Bedrohungsmodelle für ihre Umgebungen erstellt“, plädiert Surana.
Unternehmen sollten außerdem sicherstellen, dass Container und APIs stets ordnungsgemäß konfiguriert sind, um sicherzustellen, dass Exploits minimiert werden. Dazu gehört auch sicherzustellen, dass sie nur über das interne Netzwerk oder vertrauenswürdige Quellen zugänglich sind. Darüber hinaus sollten sie die Richtlinien von Docker zur Stärkung der Sicherheit befolgen. „Angesichts der steigenden Zahl bösartiger Open-Source-Pakete, die auf Benutzeranmeldeinformationen abzielen“, sagt Surana, „sollten Benutzer es vermeiden, Anmeldeinformationen in Dateien zu speichern.“ Stattdessen wird ihnen empfohlen, Tools wie Anmeldeinformationsspeicher und Helfer zu wählen.“
