Μια προφανής παράλειψη επιχειρησιακής ασφάλειας από ένα μέλος της ομάδας απειλών TeamTNT έχει αποκαλύψει ορισμένες από τις τακτικές που χρησιμοποιεί για την εκμετάλλευση των κακώς διαμορφωμένων διακομιστών Docker.
Ερευνητές ασφαλείας από την Trend Micro δημιούργησαν πρόσφατα ένα honeypot με ένα εκτεθειμένο Docker REST API για να προσπαθήσουν να κατανοήσουν πώς οι φορείς απειλών γενικά εκμεταλλεύονται τα τρωτά σημεία και τις εσφαλμένες διαμορφώσεις στην ευρέως χρησιμοποιούμενη πλατφόρμα κοντέινερ νέφους. Ανακάλυψαν την TeamTNT — μια ομάδα γνωστή ειδικές για το cloud καμπάνιες του — να κάνει τουλάχιστον τρεις προσπάθειες εκμετάλλευσης του Docker honeypot.
«Σε ένα από τα honeypots μας, είχαμε εκθέσει επίτηδες έναν διακομιστή με τον Docker Daemon εκτεθειμένο μέσω REST API», λέει ο Nitesh Surana, μηχανικός έρευνας απειλών στην Trend Micro. «Οι φορείς απειλών βρήκαν την εσφαλμένη διαμόρφωση και την εκμεταλλεύτηκαν τρεις φορές από IP με έδρα τη Γερμανία, όπου είχαν συνδεθεί στο μητρώο τους DockerHub», λέει η Surana. "Βάσει της παρατήρησής μας, το κίνητρο του εισβολέα ήταν να εκμεταλλευτεί το Docker REST API και να θέσει σε κίνδυνο τον υποκείμενο διακομιστή για να εκτελέσει cryptojacking."
Του πωλητή ασφαλείας ανάλυση της δραστηριότητας τελικά οδήγησε στην αποκάλυψη διαπιστευτηρίων για τουλάχιστον δύο λογαριασμούς DockerHub τους οποίους ήλεγχε η TeamTNT (η ομάδα έκανε κατάχρηση των δωρεάν υπηρεσιών Μητρώου Container του DockerHub) και χρησιμοποιούσε για τη διανομή μιας ποικιλίας κακόβουλων ωφέλιμων φορτίων, συμπεριλαμβανομένων των εξορύξεων νομισμάτων.
Ένας από τους λογαριασμούς (με το όνομα "alpineos") φιλοξενούσε μια κακόβουλη εικόνα κοντέινερ που περιείχε rootkits, κιτ για διαφυγή κοντέινερ Docker, τον εξορύκτη νομισμάτων XMRig Monero, κλέφτες διαπιστευτηρίων και κιτ εκμετάλλευσης Kubernetes.
Η Trend Micro ανακάλυψε ότι η κακόβουλη εικόνα είχε ληφθεί περισσότερες από 150,000 φορές, κάτι που θα μπορούσε να μεταφραστεί σε ένα ευρύ φάσμα μολύνσεων.
Ο άλλος λογαριασμός (sandeep078) φιλοξένησε μια παρόμοια κακόβουλη εικόνα κοντέινερ, αλλά είχε πολύ λιγότερα "τραβήγματα" - μόλις περίπου 200 - σε σύγκριση με τον προηγούμενο. Η Trend Micro επεσήμανε τρία σενάρια που πιθανότατα οδήγησαν στη διαρροή των διαπιστευτηρίων του λογαριασμού μητρώου TeamTNT Docker. Σε αυτά περιλαμβάνονται η αποτυχία αποσύνδεσης από τον λογαριασμό DockerHub ή η αυτομόλυνση των μηχανημάτων τους.
Εικόνες κοντέινερ με κακόβουλο σύννεφο: Μια χρήσιμη λειτουργία
Οι προγραμματιστές συχνά εκθέτουν τον δαίμονα του Docker πάνω από το REST API του, ώστε να μπορούν να δημιουργούν κοντέινερ και να εκτελούν εντολές Docker σε απομακρυσμένους διακομιστές. Ωστόσο, εάν οι απομακρυσμένοι διακομιστές δεν έχουν ρυθμιστεί σωστά - για παράδειγμα, καθιστώντας τους προσβάσιμους στο κοινό - οι εισβολείς μπορούν να εκμεταλλευτούν τους διακομιστές, λέει η Surana.
Σε αυτές τις περιπτώσεις, οι φορείς απειλών μπορούν να περιστρέψουν ένα κοντέινερ στον παραβιασμένο διακομιστή από εικόνες που εκτελούν κακόβουλα σενάρια. Συνήθως, αυτές οι κακόβουλες εικόνες φιλοξενούνται σε μητρώα κοντέινερ όπως το DockerHub, το Amazon Elastic Container Registry (ECR) και το Alibaba Container Registry. Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν ένα από τα δύο παραβιασμένοι λογαριασμοί σε αυτά τα μητρώα για να φιλοξενήσουν τις κακόβουλες εικόνες, ή μπορούν να δημιουργήσουν τις δικές τους, έχει σημειώσει προηγουμένως η Trend Micro. Οι εισβολείς μπορούν επίσης να φιλοξενήσουν κακόβουλες εικόνες στο δικό τους ιδιωτικό μητρώο κοντέινερ.
Τα δοχεία που έχουν περιστραφεί από μια κακόβουλη εικόνα μπορούν να χρησιμοποιηθούν για μια ποικιλία κακόβουλων δραστηριοτήτων, σημειώνει η Surana. "Όταν ένας διακομιστής που εκτελεί το Docker εκθέτει δημόσια το Docker Daemon μέσω REST API, ένας εισβολέας μπορεί να κάνει κατάχρηση και να δημιουργήσει κοντέινερ στον κεντρικό υπολογιστή με βάση εικόνες που ελέγχονται από τους εισβολείς", λέει.
Πληθώρα επιλογών ωφέλιμου φορτίου Cyberattacker
Αυτές οι εικόνες μπορεί να περιέχουν cryptominers, κιτ εκμετάλλευσης, εργαλεία διαφυγής κοντέινερ, δίκτυο και εργαλεία απαρίθμησης. «Οι επιτιθέμενοι θα μπορούσαν να εκτελέσουν κρυπτο-jacking, άρνηση υπηρεσίας, πλευρική κίνηση, κλιμάκωση προνομίων και άλλες τεχνικές εντός του περιβάλλοντος χρησιμοποιώντας αυτά τα κοντέινερ», σύμφωνα με την ανάλυση.
«Τα εργαλεία που επικεντρώνονται στους προγραμματιστές, όπως το Docker, είναι γνωστό ότι έχουν γίνει εκτεταμένη κατάχρηση. Είναι σημαντικό να εκπαιδεύσουμε [προγραμματιστές] γενικά δημιουργώντας πολιτικές για πρόσβαση και χρήση διαπιστευτηρίων, καθώς και να δημιουργήσουμε μοντέλα απειλών για το περιβάλλον τους», υποστηρίζει η Surana.
Οι οργανισμοί θα πρέπει επίσης να διασφαλίζουν ότι τα κοντέινερ και τα API είναι πάντα κατάλληλα διαμορφωμένα για να διασφαλίζουν την ελαχιστοποίηση των εκμεταλλεύσεων. Αυτό περιλαμβάνει τη διασφάλιση ότι είναι προσβάσιμα μόνο από το εσωτερικό δίκτυο ή από αξιόπιστες πηγές. Επιπλέον, θα πρέπει να ακολουθούν τις οδηγίες του Docker για την ενίσχυση της ασφάλειας. «Με τον αυξανόμενο αριθμό των κακόβουλων πακέτων ανοιχτού κώδικα που στοχεύουν διαπιστευτήρια χρήστη», λέει η Surana, «οι χρήστες θα πρέπει να αποφεύγουν την αποθήκευση διαπιστευτηρίων σε αρχεία. Αντίθετα, τους συμβουλεύεται να επιλέξουν εργαλεία όπως καταστήματα διαπιστευτηρίων και βοηθούς».
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
