Slip-up keamanan operasional yang tampak oleh anggota grup ancaman TeamTNT telah mengungkap beberapa taktik yang digunakannya untuk mengeksploitasi server Docker yang dikonfigurasi dengan buruk.
Peneliti keamanan dari Trend Micro baru-baru ini menyiapkan honeypot dengan Docker REST API yang terbuka untuk mencoba dan memahami bagaimana pelaku ancaman pada umumnya mengeksploitasi kerentanan dan kesalahan konfigurasi di platform wadah cloud yang banyak digunakan. Mereka menemukan TeamTNT — grup yang terkenal kampanye khusus cloud-nya — membuat setidaknya tiga upaya untuk mengeksploitasi Docker honeypot-nya.
“Di salah satu honeypots kami, kami sengaja mengekspos server dengan Daemon Docker yang diekspos melalui REST API,” kata Nitesh Surana, insinyur riset ancaman di Trend Micro. “Para pelaku ancaman menemukan kesalahan konfigurasi dan mengeksploitasinya tiga kali dari IP yang berbasis di Jerman, tempat mereka masuk ke registri DockerHub mereka,” kata Surana. “Berdasarkan pengamatan kami, motivasi penyerang adalah untuk mengeksploitasi Docker REST API dan mengkompromikan server yang mendasarinya untuk melakukan cryptojacking.”
Vendor keamanan analisis kegiatan akhirnya menyebabkan terungkapnya kredensial untuk setidaknya dua akun DockerHub yang dikendalikan oleh TeamTNT (grup tersebut menyalahgunakan layanan Container Registry gratis DockerHub) dan digunakan untuk mendistribusikan berbagai muatan berbahaya, termasuk penambang koin.
Salah satu akun (dengan nama "alpineos") menghosting gambar kontainer berbahaya yang berisi rootkit, kit untuk pelarian kontainer Docker, penambang koin XMRig Monero, pencuri kredensial, dan kit eksploitasi Kubernetes.
Trend Micro menemukan bahwa gambar berbahaya telah diunduh lebih dari 150,000 kali, yang dapat menyebabkan banyak infeksi.
Akun lain (sandeep078) menghosting gambar wadah berbahaya serupa tetapi memiliki "tarikan" yang jauh lebih sedikit - hanya sekitar 200 - dibandingkan dengan yang sebelumnya. Trend Micro menunjuk ke tiga skenario yang kemungkinan mengakibatkan kebocoran kredensial akun registri Docker TeamTNT. Ini termasuk kegagalan untuk keluar dari akun DockerHub atau mesin mereka terinfeksi sendiri.
Gambar Cloud Container Berbahaya: Fitur yang Berguna
Pengembang sering mengekspos daemon Docker melalui REST API sehingga mereka dapat membuat wadah dan menjalankan perintah Docker di server jarak jauh. Namun, jika server jarak jauh tidak dikonfigurasi dengan benar — misalnya, dengan membuatnya dapat diakses publik — penyerang dapat mengeksploitasi server, kata Surana.
Dalam kasus ini, pelaku ancaman dapat mengaktifkan wadah di server yang disusupi dari gambar yang menjalankan skrip berbahaya. Biasanya, gambar berbahaya ini dihosting di container registry seperti DockerHub, Amazon Elastic Container Registry (ECR), dan Alibaba Container Registry. Penyerang dapat menggunakan keduanya akun yang disusupi pada pendaftar ini untuk menghosting gambar berbahaya, atau mereka dapat membuatnya sendiri, Trend Micro telah mencatat sebelumnya. Penyerang juga dapat menghosting gambar berbahaya di registri wadah pribadi mereka sendiri.
Kontainer yang diputar dari gambar jahat dapat digunakan untuk berbagai aktivitas jahat, catat Surana. “Saat server yang menjalankan Docker membuat Docker Daemon-nya terbuka secara publik melalui REST API, penyerang dapat menyalahgunakan dan membuat kontainer di host berdasarkan gambar yang dikontrol penyerang,” katanya.
Banyak Opsi Payload Penyerang Cyber
Gambar-gambar ini mungkin berisi cryptominers, exploit kits, container escape tools, network, dan enumeration tools. “Penyerang dapat melakukan crypto-jacking, denial of service, pergerakan lateral, eskalasi hak istimewa, dan teknik lain dalam lingkungan menggunakan wadah ini,” menurut analisis tersebut.
“Alat yang berpusat pada pengembang seperti Docker telah dikenal sering disalahgunakan. Penting untuk mengedukasi [pengembang] secara luas dengan membuat kebijakan untuk akses dan penggunaan kredensial, serta menghasilkan model ancaman di lingkungan mereka,” saran Surana.
Organisasi juga harus memastikan bahwa wadah dan API selalu dikonfigurasi dengan benar untuk memastikan eksploitasi diminimalkan. Ini termasuk memastikan bahwa mereka hanya dapat diakses oleh jaringan internal atau oleh sumber tepercaya. Selain itu, mereka harus mengikuti pedoman Docker untuk memperkuat keamanan. “Dengan meningkatnya jumlah paket open source berbahaya yang menargetkan kredensial pengguna,” kata Surana, “pengguna harus menghindari menyimpan kredensial dalam file. Sebaliknya, mereka disarankan untuk memilih alat seperti toko kredensial dan pembantu.”
