TeamTNT 脅威グループのメンバーによる明らかな運用上のセキュリティの誤りにより、構成が不十分な Docker サーバーを悪用するために使用している戦術の一部が明らかになりました。
Trend Micro のセキュリティ研究者は最近、公開された Docker REST API を使用してハニーポットをセットアップし、広く使用されているクラウド コンテナ プラットフォームの脆弱性や設定ミスを一般的な攻撃者がどのように悪用しているかを理解しようとしました。 彼らは TeamTNT を発見しました — で知られるグループです。 そのクラウド固有のキャンペーン — Docker ハニーポットの悪用を少なくとも XNUMX 回試みます。
「私たちのハニーポットの XNUMX つで、REST API を介して公開された Docker Daemon を使用してサーバーを意図的に公開しました」と、Trend Micro の脅威調査エンジニアである Nitesh Surana は述べています。 「攻撃者は構成の誤りを発見し、DockerHub レジストリにログインしたドイツに拠点を置く IP から XNUMX 回悪用しました」と Surana 氏は言います。 「私たちの観察によると、攻撃者の動機は、Docker REST API を悪用し、基盤となるサーバーを侵害してクリプトジャッキングを実行することでした。」
セキュリティベンダーの 活動の分析 最終的に、TeamTNT が制御し (DockerHub の無料の Container Registry サービスを悪用していた)、コイン マイナーを含むさまざまな悪意のあるペイロードを配布するために使用していた、少なくとも XNUMX つの DockerHub アカウントの認証情報が明らかになりました。
アカウントの XNUMX つ (「alpineos」という名前) は、ルートキット、Docker コンテナー エスケープ用のキット、XMRig Monero コイン マイナー、資格情報スティーラー、および Kubernetes エクスプロイト キットを含む悪意のあるコンテナー イメージをホストしていました。
Trend Micro は、悪意のある画像が 150,000 回以上ダウンロードされていたことを発見しました。
もう 078 つのアカウント (sandeep200) は、同様の悪意のあるコンテナー イメージをホストしていましたが、前者に比べて「プル」がはるかに少なく、約 XNUMX でした。 Trend Micro は、TeamTNT Docker レジストリ アカウントの資格情報が漏洩する可能性が高い XNUMX つのシナリオを指摘しました。 これには、DockerHub アカウントからのログアウトの失敗や、マシンの自己感染が含まれます。
悪意のあるクラウド コンテナ イメージ: 便利な機能
開発者は多くの場合、REST API を介して Docker デーモンを公開し、リモート サーバーでコンテナーを作成して Docker コマンドを実行できるようにします。 ただし、リモート サーバーが適切に構成されていない場合 (たとえば、一般にアクセスできるようにするなど)、攻撃者がサーバーを悪用する可能性があると、Surana 氏は言います。
このような場合、攻撃者は侵害されたサーバー上で悪意のあるスクリプトを実行するイメージからコンテナーを作成できます。 通常、これらの悪意のあるイメージは、DockerHub、Amazon Elastic Container Registry (ECR)、Alibaba Container Registry などのコンテナ レジストリでホストされています。 攻撃者はどちらかを使用できます 侵害されたアカウント トレンドマイクロは以前、これらのレジストリで悪意のある画像をホストするか、独自のレジストリを確立できると述べています。 攻撃者は、独自のプライベート コンテナー レジストリで悪意のあるイメージをホストすることもできます。
悪意のあるイメージから作成されたコンテナは、さまざまな悪意のある活動に使用される可能性がある、と Surana は指摘しています。 「Docker を実行しているサーバーの Docker Daemon が REST API を介して公開されている場合、攻撃者は、攻撃者が制御するイメージに基づいてホスト上でコンテナーを悪用し、作成することができます」と彼は言います。
多数のサイバー攻撃ペイロード オプション
これらのイメージには、クリプトマイナー、エクスプロイト キット、コンテナ エスケープ ツール、ネットワーク、および列挙ツールが含まれている可能性があります。 分析によると、「攻撃者は、これらのコンテナを使用して、環境内でクリプトジャッキング、サービス拒否、ラテラル ムーブメント、権限昇格、およびその他の手法を実行する可能性があります」。
「Docker のような開発者中心のツールは、広く悪用されることが知られています。 アクセスとクレデンシャルの使用に関するポリシーを作成し、環境の脅威モデルを生成することによって、[開発者] 全体を教育することが重要です」と Surana 氏は主張します。
組織は、悪用を最小限に抑えるために、コンテナと API が常に適切に構成されていることを確認する必要もあります。 これには、内部ネットワークまたは信頼できるソースからのみアクセスできるようにすることも含まれます。 さらに、セキュリティを強化するための Docker のガイドラインに従う必要があります。 「ユーザー資格情報を標的とする悪意のあるオープン ソース パッケージの数が増加しているため、ユーザーは資格情報をファイルに保存しないようにする必要があります。 代わりに、クレデンシャル ストアやヘルパーなどのツールを選択することをお勧めします。」
