Une erreur de sécurité opérationnelle apparente par un membre du groupe de menaces TeamTNT a révélé certaines des tactiques qu'il utilise pour exploiter des serveurs Docker mal configurés.
Les chercheurs en sécurité de Trend Micro ont récemment mis en place un pot de miel avec une API Docker REST exposée pour essayer de comprendre comment les acteurs de la menace en général exploitent les vulnérabilités et les erreurs de configuration dans la plate-forme de conteneurs cloud largement utilisée. Ils ont découvert TeamTNT — un groupe connu pour ses campagnes spécifiques au cloud – faisant au moins trois tentatives pour exploiter son pot de miel Docker.
"Sur l'un de nos pots de miel, nous avions intentionnellement exposé un serveur avec le démon Docker exposé via l'API REST", explique Nitesh Surana, ingénieur de recherche sur les menaces chez Trend Micro. "Les acteurs de la menace ont trouvé la mauvaise configuration et l'ont exploitée trois fois à partir d'adresses IP basées en Allemagne, où ils étaient connectés à leur registre DockerHub", explique Surana. "Sur la base de nos observations, la motivation de l'attaquant était d'exploiter l'API Docker REST et de compromettre le serveur sous-jacent pour effectuer du cryptojacking."
Le fournisseur de sécurité analyse de l'activité a finalement conduit à la découverte d'informations d'identification pour au moins deux comptes DockerHub contrôlés par TeamTNT (le groupe abusait des services gratuits de DockerHub Container Registry) et utilisait pour distribuer une variété de charges utiles malveillantes, y compris des mineurs de pièces.
L'un des comptes (portant le nom "alpineos") hébergeait une image de conteneur malveillante contenant des rootkits, des kits d'échappement de conteneur Docker, le mineur de pièces XMRig Monero, des voleurs d'informations d'identification et des kits d'exploitation Kubernetes.
Trend Micro a découvert que l'image malveillante avait été téléchargée plus de 150,000 XNUMX fois, ce qui pourrait se traduire par un large éventail d'infections.
L'autre compte (sandeep078) hébergeait une image de conteneur malveillante similaire, mais avait beaucoup moins de "pulls" - environ 200 - par rapport au premier. Trend Micro a indiqué trois scénarios qui ont probablement entraîné la fuite des informations d'identification du compte de registre TeamTNT Docker. Ceux-ci incluent un échec de déconnexion du compte DockerHub ou l'auto-infection de leurs machines.
Images de conteneurs cloud malveillantes : une fonctionnalité utile
Les développeurs exposent souvent le démon Docker sur son API REST afin qu'ils puissent créer des conteneurs et exécuter des commandes Docker sur des serveurs distants. Cependant, si les serveurs distants ne sont pas correctement configurés - par exemple, en les rendant accessibles au public - les attaquants peuvent exploiter les serveurs, explique Surana.
Dans ces cas, les pirates peuvent faire tourner un conteneur sur le serveur compromis à partir d'images qui exécutent des scripts malveillants. Généralement, ces images malveillantes sont hébergées sur des registres de conteneurs tels que DockerHub, Amazon Elastic Container Registry (ECR) et Alibaba Container Registry. Les attaquants peuvent utiliser soit comptes compromis sur ces registres pour héberger les images malveillantes, ou ils peuvent établir les leurs, a précédemment noté Trend Micro. Les attaquants peuvent également héberger des images malveillantes sur leur propre registre de conteneurs privé.
Les conteneurs créés à partir d'une image malveillante peuvent être utilisés pour diverses activités malveillantes, note Surana. "Lorsqu'un serveur exécutant Docker a son démon Docker exposé publiquement via l'API REST, un attaquant peut abuser et créer des conteneurs sur l'hôte en fonction d'images contrôlées par l'attaquant", dit-il.
Une pléthore d'options de charge utile pour les cyberattaquants
Ces images peuvent contenir des cryptomineurs, des kits d'exploitation, des outils d'échappement de conteneurs, des outils de réseau et d'énumération. "Les attaquants pourraient effectuer du crypto-jacking, un déni de service, un mouvement latéral, une escalade de privilèges et d'autres techniques dans l'environnement en utilisant ces conteneurs", selon l'analyse.
"Les outils centrés sur les développeurs comme Docker sont connus pour être largement abusés. Il est important d'éduquer [les développeurs] au sens large en créant des politiques d'accès et d'utilisation des informations d'identification, ainsi qu'en générant des modèles de menace de leurs environnements », préconise Surana.
Les organisations doivent également s'assurer que les conteneurs et les API sont toujours correctement configurés pour garantir que les exploits sont minimisés. Cela inclut de s'assurer qu'ils ne sont accessibles que par le réseau interne ou par des sources fiables. De plus, ils doivent suivre les directives de Docker pour renforcer la sécurité. "Avec le nombre croissant de packages open source malveillants ciblant les informations d'identification des utilisateurs", déclare Surana, "les utilisateurs doivent éviter de stocker les informations d'identification dans des fichiers. Au lieu de cela, il leur est conseillé de choisir des outils tels que des magasins d'informations d'identification et des assistants.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
