Un apparente errore di sicurezza operativa da parte di un membro del gruppo di minacce TeamTNT ha messo in luce alcune delle tattiche utilizzate per sfruttare i server Docker configurati in modo inadeguato.
I ricercatori di sicurezza di Trend Micro hanno recentemente creato un honeypot con un'API REST Docker esposta per cercare di capire in che modo gli attori delle minacce in generale sfruttano le vulnerabilità e le configurazioni errate nella piattaforma di container cloud ampiamente utilizzata. Hanno scoperto TeamTNT, un gruppo noto per le sue campagne specifiche per il cloud — facendo almeno tre tentativi di sfruttare il suo honeypot Docker.
"Su uno dei nostri honeypot, avevamo esposto intenzionalmente un server con il Daemon Docker esposto sull'API REST", afferma Nitesh Surana, ingegnere di ricerca sulle minacce presso Trend Micro. "Gli attori delle minacce hanno scoperto l'errata configurazione e l'hanno sfruttata tre volte da IP con sede in Germania, dove erano connessi al loro registro DockerHub", afferma Surana. "Sulla base della nostra osservazione, la motivazione dell'aggressore era sfruttare l'API REST di Docker e compromettere il server sottostante per eseguire il cryptojacking".
Il venditore di sicurezza analisi dell'attività alla fine ha portato alla scoperta delle credenziali per almeno due account DockerHub controllati da TeamTNT (il gruppo stava abusando dei servizi gratuiti di Container Registry di DockerHub) e stava utilizzando per distribuire una varietà di payload dannosi, inclusi i minatori di monete.
Uno degli account (con il nome "alpineos") ospitava un'immagine di un contenitore dannoso contenente rootkit, kit per la fuga del contenitore Docker, il minatore di monete XMRig Monero, ladri di credenziali e kit di exploit Kubernetes.
Trend Micro ha scoperto che l'immagine dannosa è stata scaricata più di 150,000 volte, il che potrebbe tradursi in un'ampia gamma di infezioni.
L'altro account (sandeep078) ospitava un'immagine di contenitore dannoso simile ma presentava molti meno "pull" (circa 200) rispetto al primo. Trend Micro ha indicato tre scenari che probabilmente hanno portato alla perdita delle credenziali dell'account del registro Docker di TeamTNT. Questi includono un errore di disconnessione dall'account DockerHub o l'auto-infezione delle loro macchine.
Immagini dannose del contenitore cloud: una funzione utile
Gli sviluppatori spesso espongono il demone Docker sulla sua API REST in modo che possano creare contenitori ed eseguire comandi Docker su server remoti. Tuttavia, se i server remoti non sono configurati correttamente, ad esempio rendendoli pubblicamente accessibili, gli aggressori possono sfruttare i server, afferma Surana.
In questi casi, gli attori delle minacce possono creare un contenitore sul server compromesso da immagini che eseguono script dannosi. In genere, queste immagini dannose sono ospitate su registri di container come DockerHub, Amazon Elastic Container Registry (ECR) e Alibaba Container Registry. Gli aggressori possono usare entrambi account compromessi su questi registri per ospitare le immagini dannose, oppure possono crearne di propri, ha notato in precedenza Trend Micro. Gli aggressori possono anche ospitare immagini dannose sul proprio registro contenitore privato.
I contenitori generati da un'immagine dannosa possono essere utilizzati per una varietà di attività dannose, osserva Surana. "Quando un server che esegue Docker ha il suo Docker Daemon esposto pubblicamente tramite l'API REST, un utente malintenzionato può abusare e creare contenitori sull'host in base a immagini controllate dall'attaccante", afferma.
Una pletora di opzioni di payload di cyberattacker
Queste immagini possono contenere cryptominer, kit di exploit, strumenti di escape dei container, strumenti di rete e di enumerazione. "Gli aggressori potrebbero eseguire crypto-jacking, negazione del servizio, movimento laterale, escalation dei privilegi e altre tecniche all'interno dell'ambiente utilizzando questi contenitori", secondo l'analisi.
“Gli strumenti incentrati sugli sviluppatori come Docker sono noti per essere ampiamente abusati. È importante educare [gli sviluppatori] in generale creando policy per l'accesso e l'uso delle credenziali, oltre a generare modelli di minaccia dei loro ambienti", sostiene Surana.
Le organizzazioni dovrebbero inoltre garantire che i contenitori e le API siano sempre configurati correttamente per garantire che gli exploit siano ridotti al minimo. Ciò include garantire che siano accessibili solo dalla rete interna o da fonti attendibili. Inoltre, dovrebbero seguire le linee guida di Docker per rafforzare la sicurezza. “Con l'aumento del numero di pacchetti open source dannosi che prendono di mira le credenziali degli utenti”, afferma Surana, “gli utenti dovrebbero evitare di archiviare le credenziali nei file. Invece, si consiglia loro di scegliere strumenti come archivi di credenziali e aiutanti.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
