TeamTNT به کانتینرهای Docker از طریق 150K تصویر ابری مخرب، هوش داده پلاتوبلاک چین را می‌کشد. جستجوی عمودی Ai.

TeamTNT از طریق 150K کشش تصویر ابر مخرب به کانتینرهای Docker ضربه می‌زند

تمبر زمانی: 14 سپتامبر 2022، 9:00 صبح

یک لغزش امنیتی عملیاتی آشکار توسط یکی از اعضای گروه تهدید TeamTNT برخی از تاکتیک‌هایی را که برای بهره‌برداری از سرورهای Docker با پیکربندی ضعیف استفاده می‌کند فاش کرده است.

محققان امنیتی Trend Micro اخیراً هانی‌پات را با یک Docker REST API در معرض دید راه‌اندازی کرده‌اند تا بفهمند چگونه عوامل تهدید به طور کلی از آسیب‌پذیری‌ها و پیکربندی‌های نادرست در پلتفرم کانتینر ابری پرکاربرد سوءاستفاده می‌کنند. آنها TeamTNT را کشف کردند - گروهی که برای آن شناخته شده است کمپین های اختصاصی ابری آن - حداقل سه تلاش برای بهره برداری از هانی پات Docker خود انجام داده است.

نیتش سورانا، مهندس تحقیقات تهدید در Trend Micro می‌گوید: «در یکی از هانی‌پات‌های خود، ما عمداً سروری را با Docker Daemon در معرض REST API قرار داده بودیم. سورنا می‌گوید: «بازیگران تهدید پیکربندی نادرست را پیدا کردند و سه بار از IP‌های مستقر در آلمان از آن سوء استفاده کردند، جایی که به رجیستری DockerHub خود وارد شدند. "بر اساس مشاهدات ما، انگیزه مهاجم سوء استفاده از Docker REST API و به خطر انداختن سرور اصلی برای انجام cryptojacking بود."

فروشنده امنیت تجزیه و تحلیل فعالیت در نهایت منجر به کشف اعتبار حداقل دو حساب DockerHub شد که TeamTNT کنترل می‌کرد (این گروه از سرویس‌های ثبت کانتینر رایگان DockerHub سوء استفاده می‌کرد) و از آن برای توزیع انواع بارهای مخرب، از جمله استخراج کنندگان سکه استفاده می‌کرد.

یکی از حساب‌ها (با نام "alpineos") میزبان یک تصویر مخرب کانتینر حاوی روت‌کیت‌ها، کیت‌های فرار کانتینر Docker، استخراج‌کننده سکه XMRig Monero، دزدان اعتبار و کیت‌های بهره‌برداری Kubernetes بود. 

Trend Micro کشف کرد که این تصویر مخرب بیش از 150,000 بار دانلود شده است که می تواند به طیف گسترده ای از عفونت تبدیل شود.

حساب دیگر (sandeep078) میزبان یک تصویر مخرب مخرب مشابه بود، اما «کشش» بسیار کمتری داشت - فقط حدود 200 - در مقایسه با قبلی. Trend Micro به سه سناریو اشاره کرد که احتمالاً منجر به لو رفتن اعتبار حساب رجیستری TeamTNT Docker شده است. این موارد شامل عدم خروج از حساب DockerHub یا خودآلوده شدن دستگاه‌های آن‌ها است.

تصاویر کانتینر ابر مخرب: یک ویژگی مفید

توسعه دهندگان اغلب شبح Docker را روی REST API آن در معرض نمایش می گذارند تا بتوانند کانتینرهایی ایجاد کنند و دستورات Docker را روی سرورهای راه دور اجرا کنند. با این حال، اگر سرورهای راه دور به درستی پیکربندی نشده باشند - به عنوان مثال، با در دسترس قرار دادن آنها برای عموم - مهاجمان می توانند از سرورها سوء استفاده کنند.

در این موارد، عوامل تهدید می‌توانند از تصاویری که اسکریپت‌های مخرب را اجرا می‌کنند، یک کانتینر روی سرور در معرض خطر بچرخانند. به طور معمول، این تصاویر مخرب در رجیستری های کانتینری مانند DockerHub، Amazon Elastic Container Registry (ECR) و Alibaba Container Registry میزبانی می شوند. مهاجمان می توانند از هر کدام استفاده کنند حساب های در معرض خطر قبلاً Trend Micro اشاره کرده بود که در این رجیستری ها میزبان تصاویر مخرب هستند یا می توانند خود را ایجاد کنند. مهاجمان همچنین می توانند تصاویر مخرب را در رجیستری کانتینر خصوصی خود میزبانی کنند. 

سورنا خاطرنشان می‌کند ظروف‌هایی که از یک تصویر مخرب بیرون آمده‌اند، می‌توانند برای انواع فعالیت‌های مخرب استفاده شوند. او می‌گوید: «وقتی سروری که Docker را اجرا می‌کند، داکر دایمون خود را به‌طور عمومی از طریق REST API در معرض دید عموم قرار می‌دهد، مهاجم می‌تواند بر اساس تصاویر کنترل‌شده توسط مهاجم، از میزبان سوءاستفاده کرده و کانتینرهایی ایجاد کند.

انبوهی از گزینه های بارگذاری مهاجم سایبری

این تصاویر ممکن است حاوی cryptominers، کیت های بهره برداری، ابزارهای فرار از کانتینر، شبکه و ابزارهای شمارش باشند. بر اساس این تحلیل، مهاجمان می‌توانند با استفاده از این کانتینرها، جک کریپتو، انکار سرویس، حرکت جانبی، افزایش امتیاز و سایر تکنیک‌ها را در محیط انجام دهند.

ابزارهای توسعه‌دهنده‌محور مانند Docker به طور گسترده مورد سوء استفاده قرار می‌گیرند. آموزش [توسعه دهندگان] به طور گسترده با ایجاد خط مشی هایی برای دسترسی و استفاده از اعتبار، و همچنین تولید مدل های تهدید از محیط های آنها مهم است.»

سازمان ها همچنین باید اطمینان حاصل کنند که کانتینرها و API ها همیشه به درستی پیکربندی شده اند تا اطمینان حاصل شود که اکسپلویت ها به حداقل می رسد. این شامل حصول اطمینان از اینکه فقط توسط شبکه داخلی یا منابع قابل اعتماد قابل دسترسی است. علاوه بر این، آنها باید از دستورالعمل های Docker برای تقویت امنیت پیروی کنند. سورنا می‌گوید: «با افزایش تعداد بسته‌های منبع باز مخربی که اعتبار کاربر را هدف قرار می‌دهند، کاربران باید از ذخیره اعتبارنامه‌ها در فایل‌ها اجتناب کنند. در عوض، به آن‌ها توصیه می‌شود ابزارهایی مانند فروشگاه‌های اعتبار و کمک‌کنندگان را انتخاب کنند.» 

تمبر زمان:

بیشتر از تاریک خواندن