TeamTNT-uhkaryhmän jäsenen ilmeinen toiminnallinen tietoturvavirhe on paljastanut osan taktiikoista, joita se käyttää huonosti määritettyjen Docker-palvelimien hyväksikäyttöön.
Trend Micron tietoturvatutkijat perustivat äskettäin Honeypotin, jossa oli esillä Docker REST API, jotta he yrittäisivät ymmärtää, kuinka uhkatekijät yleensä käyttävät hyväkseen haavoittuvuuksia ja virheellisiä määrityksiä laajasti käytetyssä pilvisäiliöalustassa. He löysivät TeamTNT:n - ryhmän, josta tunnetaan sen pilvikohtaiset kampanjat — yrittää ainakin kolmesti hyödyntää Docker-hunajapottiaan.
"Yhdessä hunajapotissamme olimme tarkoituksella paljastaneet palvelimen, jonka Docker Daemon oli paljastettu REST API:n kautta", sanoo Trend Micron uhkatutkimusinsinööri Nitesh Surana. "Uhkatoimijat löysivät virheellisen määrityksen ja käyttivät sitä kolmesti hyväkseen Saksassa sijaitsevista IP-osoitteista, joissa he kirjautuivat DockerHub-rekisteriinsä", Surana kertoo. "Havainnojemme perusteella hyökkääjän motivaatio oli hyödyntää Docker REST API:a ja vaarantaa taustalla olevan palvelimen suorittamaan kryptojausta."
Tietoturvatoimittajan toiminnan analyysi lopulta johti vähintään kahden TeamTNT:n hallitseman DockerHub-tilin valtuustietojen paljastamiseen (ryhmä käytti DockerHubin ilmaisia Container Registry -palveluita) ja käytti useiden haitallisten hyötykuormien jakamiseen, mukaan lukien kolikonkaivostyöt.
Yksi tileistä (nimeltään "alpineos") isännöi haitallista konttikuvaa, joka sisälsi rootkit-paketteja, Dockerin konttipakopaketteja, XMRig Monero -kolikkolouhintaa, valtuustietojen varastajia ja Kubernetes-hyödyntämissarjoja.
Trend Micro havaitsi, että haitallinen kuva oli ladattu yli 150,000 XNUMX kertaa, mikä voi johtaa laajaan tartunnan joukkoon.
Toinen tili (sandeep078) isännöi samanlaista haitallista säilön kuvaa, mutta sillä oli paljon vähemmän "vetoja" - vain noin 200 - verrattuna edelliseen. Trend Micro viittasi kolmeen skenaarioon, jotka todennäköisesti johtivat TeamTNT Docker -rekisteritilin tunnistetietojen vuotamiseen. Näitä ovat DockerHub-tililtä uloskirjautumisen epäonnistuminen tai niiden koneiden itsetartunta.
Haitalliset pilvisäilökuvat: hyödyllinen ominaisuus
Kehittäjät paljastavat usein Docker-daemonin sen REST API:n kautta, jotta he voivat luoda säilöjä ja suorittaa Docker-komentoja etäpalvelimilla. Jos etäpalvelimia ei kuitenkaan ole määritetty oikein – esimerkiksi tekemällä niistä julkisesti saatavilla – hyökkääjät voivat hyödyntää palvelimia, Surana sanoo.
Näissä tapauksissa uhkatoimijat voivat muodostaa säiliön vaarantuneelle palvelimelle kuvista, jotka suorittavat haitallisia komentosarjoja. Yleensä näitä haitallisia kuvia isännöidään konttirekistereissä, kuten DockerHub, Amazon Elastic Container Registry (ECR) ja Alibaba Container Registry. Hyökkääjät voivat käyttää kumpaa tahansa vaarantuneet tilit Näissä rekistereissä haitallisia kuvia isännöimään, tai ne voivat luoda omia, Trend Micro on aiemmin todennut. Hyökkääjät voivat myös isännöidä haitallisia kuvia omassa yksityisessä säilörekisterissään.
Haitallisesta kuvasta irrotettuja säiliöitä voidaan käyttää monenlaisiin haitallisiin toimiin, Surana huomauttaa. "Kun Dockeria käyttävän palvelimen Docker-Daemon on julkisesti esillä REST API:n kautta, hyökkääjä voi väärinkäyttää ja luoda isäntään säiliöitä hyökkääjän ohjaamien kuvien perusteella", hän sanoo.
Lukuisia kyberhyökkääjien hyötykuormavaihtoehtoja
Nämä kuvat voivat sisältää kryptomineraajia, hyödyntämissarjoja, kontin poistotyökaluja, verkko- ja luettelotyökaluja. "Hyökkääjät voivat suorittaa kryptokaappauksia, palvelunestoa, sivusuuntaista liikettä, etuoikeuksien eskaloitumista ja muita tekniikoita ympäristössä käyttämällä näitä säiliöitä", analyysin mukaan.
"Kehittäjäkeskeisiä työkaluja, kuten Docker, on tiedetty väärinkäytettynä laajasti. On tärkeää kouluttaa [kehittäjiä] yleisesti luomalla käytäntöjä pääsyä ja tunnistetietojen käyttöä varten sekä luomalla uhkamalleja heidän ympäristöinsä”, Surana kannattaa.
Organisaatioiden tulee myös varmistaa, että säiliöt ja API:t on aina määritetty oikein, jotta voidaan varmistaa, että hyväksikäytöt minimoidaan. Tämä sisältää sen varmistamisen, että ne ovat saatavilla vain sisäisestä verkosta tai luotettavista lähteistä. Lisäksi heidän tulee noudattaa Dockerin ohjeita turvallisuuden vahvistamiseksi. "Käyttäjien tunnistetietoihin kohdistettujen haitallisten avoimen lähdekoodin pakettien lisääntyessä käyttäjien tulee välttää valtuustietojen tallentamista tiedostoihin", Surana sanoo. Sen sijaan heitä kehotetaan valitsemaan työkaluja, kuten valtakirjakauppoja ja avustajia."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
