TeamTNT खतरे वाले समूह के एक सदस्य द्वारा एक स्पष्ट परिचालन सुरक्षा पर्ची-अप ने खराब कॉन्फ़िगर किए गए डॉकर सर्वरों का शोषण करने के लिए उपयोग की जाने वाली कुछ रणनीतियों को उजागर किया है।
ट्रेंड माइक्रो के सुरक्षा शोधकर्ताओं ने हाल ही में एक एक्सपोज्ड डॉकर रेस्ट एपीआई के साथ एक हनीपोट की स्थापना की, ताकि यह समझने की कोशिश की जा सके कि व्यापक रूप से उपयोग किए जाने वाले क्लाउड कंटेनर प्लेटफॉर्म में आम तौर पर खतरे वाले कलाकार कमजोरियों और गलत कॉन्फ़िगरेशन का फायदा उठा रहे हैं। उन्होंने TeamTNT की खोज की - एक ऐसा समूह जिसके लिए जाना जाता है इसके क्लाउड-विशिष्ट अभियान — अपने Docker Honeypot के दोहन के कम से कम तीन प्रयास कर रहा है।
ट्रेंड माइक्रो के थ्रेट रिसर्च इंजीनियर नितेश सुराणा कहते हैं, "हमारे एक हनीपॉट पर, हमने जानबूझकर एक सर्वर को उजागर किया था, जिसमें डोकर डेमन को REST API पर उजागर किया गया था।" सुराना कहते हैं, "धमकी देने वाले अभिनेताओं ने गलत कॉन्फ़िगरेशन पाया और जर्मनी में स्थित आईपी से तीन बार इसका फायदा उठाया, जहां वे अपने डॉकरहब रजिस्ट्री में लॉग इन थे।" "हमारे अवलोकन के आधार पर, हमलावर की प्रेरणा डॉकर रीस्ट एपीआई का शोषण करना और क्रिप्टोजैकिंग करने के लिए अंतर्निहित सर्वर से समझौता करना था।"
सुरक्षा विक्रेता का गतिविधि का विश्लेषण अंततः कम से कम दो डॉकरहब खातों के लिए क्रेडेंशियल्स को उजागर करने का नेतृत्व किया, जिसे टीमटीएनटी नियंत्रित करता था (समूह डॉकरहब मुक्त कंटेनर रजिस्ट्री सेवाओं का दुरुपयोग कर रहा था) और सिक्का खनिक सहित विभिन्न प्रकार के दुर्भावनापूर्ण पेलोड वितरित करने के लिए उपयोग कर रहा था।
खातों में से एक ("अल्पाइनोस" नाम के साथ) ने एक दुर्भावनापूर्ण कंटेनर छवि की मेजबानी की जिसमें रूटकिट, डॉकटर कंटेनर एस्केप के लिए किट, एक्सएमरिग मोनेरो सिक्का खनिक, क्रेडेंशियल चोरी करने वाले और कुबेरनेट्स शोषण किट शामिल हैं।
ट्रेंड माइक्रो ने पाया कि दुर्भावनापूर्ण छवि को 150,000 से अधिक बार डाउनलोड किया गया था, जो संक्रमणों की एक विस्तृत श्रृंखला में परिवर्तित हो सकता है।
अन्य खाते (संदीप078) ने एक समान दुर्भावनापूर्ण कंटेनर छवि को होस्ट किया था, लेकिन पूर्व की तुलना में बहुत कम "खींचें" - लगभग 200 -। ट्रेंड माइक्रो ने तीन परिदृश्यों की ओर इशारा किया, जिसके परिणामस्वरूप संभवतः टीमटीएनटी डॉकर रजिस्ट्री खाता क्रेडेंशियल्स का रिसाव हुआ। इनमें डॉकरहब खाते से लॉगआउट करने में विफलता या उनकी मशीनों का स्व-संक्रमित होना शामिल है।
दुर्भावनापूर्ण क्लाउड कंटेनर छवियां: एक उपयोगी विशेषता
डेवलपर्स अक्सर अपने REST API पर Docker डेमॉन को उजागर करते हैं ताकि वे कंटेनर बना सकें और दूरस्थ सर्वर पर Docker कमांड चला सकें। हालाँकि, यदि दूरस्थ सर्वर ठीक से कॉन्फ़िगर नहीं किए गए हैं - उदाहरण के लिए, उन्हें सार्वजनिक रूप से सुलभ बनाकर - हमलावर सर्वर का शोषण कर सकते हैं, सुराना कहते हैं।
इन उदाहरणों में, खतरे वाले अभिनेता दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित करने वाली छवियों से समझौता किए गए सर्वर पर एक कंटेनर को स्पिन कर सकते हैं। आमतौर पर, इन दुर्भावनापूर्ण छवियों को डॉकटरहब, अमेज़ॅन इलास्टिक कंटेनर रजिस्ट्री (ईसीआर) और अलीबाबा कंटेनर रजिस्ट्री जैसे कंटेनर रजिस्ट्रियों पर होस्ट किया जाता है। हमलावर या तो उपयोग कर सकते हैं समझौता किए गए खाते इन रजिस्ट्रियों पर दुर्भावनापूर्ण छवियों को होस्ट करने के लिए, या वे स्वयं को स्थापित कर सकते हैं, ट्रेंड माइक्रो ने पहले नोट किया है। हमलावर दुर्भावनापूर्ण छवियों को अपनी निजी कंटेनर रजिस्ट्री पर भी होस्ट कर सकते हैं।
सुराणा ने कहा कि दुर्भावनापूर्ण छवि से बने कंटेनरों का उपयोग विभिन्न प्रकार की दुर्भावनापूर्ण गतिविधियों के लिए किया जा सकता है। "जब डॉकर चलाने वाले सर्वर का डॉकर डेमॉन सार्वजनिक रूप से आरईएसटी एपीआई पर उजागर होता है, तो हमलावर हमलावर नियंत्रित छवियों के आधार पर मेजबान पर कंटेनर का दुरुपयोग और निर्माण कर सकता है।"
साइबरअटैकर पेलोड विकल्पों की अधिकता
इन छवियों में क्रिप्टोमिनर्स, शोषण किट, कंटेनर एस्केप टूल, नेटवर्क और गणना उपकरण शामिल हो सकते हैं। विश्लेषण के अनुसार, "हमलावर इन कंटेनरों का उपयोग करके क्रिप्टो-जैकिंग, सेवा से इनकार, पार्श्व आंदोलन, विशेषाधिकार वृद्धि और पर्यावरण के भीतर अन्य तकनीकों का प्रदर्शन कर सकते हैं।"
"डेवलपर-केंद्रित टूल जैसे डॉकर को व्यापक रूप से दुर्व्यवहार करने के लिए जाना जाता है। एक्सेस और क्रेडेंशियल उपयोग के लिए नीतियां बनाकर बड़े पैमाने पर [डेवलपर्स] को शिक्षित करना महत्वपूर्ण है, साथ ही साथ उनके वातावरण के खतरे के मॉडल भी तैयार करते हैं, ”सुराणा वकालत करते हैं।
संगठनों को यह भी सुनिश्चित करना चाहिए कि शोषण को कम करने के लिए कंटेनर और एपीआई को हमेशा ठीक से कॉन्फ़िगर किया जाए। इसमें यह सुनिश्चित करना शामिल है कि वे केवल आंतरिक नेटवर्क या विश्वसनीय स्रोतों द्वारा ही पहुंच योग्य हैं। इसके अलावा, उन्हें सुरक्षा को मजबूत करने के लिए डॉकर के दिशा-निर्देशों का पालन करना चाहिए। "उपयोगकर्ता क्रेडेंशियल्स को लक्षित करने वाले दुर्भावनापूर्ण ओपन सोर्स पैकेजों की बढ़ती संख्या के साथ," सुराणा कहते हैं, "उपयोगकर्ताओं को फ़ाइलों में क्रेडेंशियल्स संग्रहीत करने से बचना चाहिए। इसके बजाय, उन्हें सलाह दी जाती है कि वे क्रेडेंशियल स्टोर और हेल्पर्स जैसे टूल चुनें।
