TeamTNT 위협 그룹 구성원의 명백한 운영 보안 실수로 인해 잘못 구성된 Docker 서버를 악용하는 데 사용하는 전술 중 일부가 노출되었습니다.
Trend Micro의 보안 연구원은 최근 위협 행위자가 일반적으로 널리 사용되는 클라우드 컨테이너 플랫폼의 취약성과 잘못된 구성을 악용하는 방법을 이해하기 위해 노출된 Docker REST API를 사용하여 허니팟을 설정했습니다. 그들은 TeamTNT를 발견했습니다. 클라우드 전용 캠페인 — Docker 허니팟을 이용하려고 최소 XNUMX번 시도합니다.
Trend Micro의 위협 연구 엔지니어인 Nitesh Surana는 "우리 허니팟 중 하나에서 REST API를 통해 노출된 Docker Daemon이 있는 서버를 의도적으로 노출했습니다."라고 말했습니다. “공격자는 DockerHub 레지스트리에 로그인되어 있는 독일에 기반을 둔 IP에서 잘못된 구성을 발견하고 이를 세 번 악용했습니다.”라고 Surana는 말합니다. "우리의 관찰에 따르면 공격자의 동기는 Docker REST API를 악용하고 기본 서버를 손상시켜 크립토재킹을 수행하는 것이었습니다."
보안 공급업체의 활동 분석 결국 TeamTNT가 관리하고(이 그룹은 DockerHub 무료 Container Registry 서비스를 악용하고 있음) 코인 채굴자를 포함한 다양한 악성 페이로드를 배포하는 데 사용하고 있던 최소 XNUMX개의 DockerHub 계정에 대한 자격 증명을 발견하게 되었습니다.
계정 중 하나("alpineos"라는 이름)는 루트킷, Docker 컨테이너 탈출용 키트, XMRig Monero 코인 채굴기, 자격 증명 도용자 및 Kubernetes 익스플로잇 키트가 포함된 악성 컨테이너 이미지를 호스팅했습니다.
트렌드마이크로는 해당 악성 이미지가 150,000회 이상 다운로드되어 광범위한 감염으로 이어질 수 있음을 발견했습니다.
다른 계정(sandeep078)도 유사한 악성 컨테이너 이미지를 호스팅했지만 이전 계정에 비해 "풀" 수가 훨씬 적었습니다(약 200개). 트렌드마이크로는 TeamTNT Docker 레지스트리 계정 자격 증명이 유출될 가능성이 있는 세 가지 시나리오를 지적했습니다. 여기에는 DockerHub 계정에서 로그아웃하지 못하거나 해당 컴퓨터가 자체 감염되는 경우가 포함됩니다.
악성 클라우드 컨테이너 이미지: 유용한 기능
개발자는 컨테이너를 생성하고 원격 서버에서 Docker 명령을 실행할 수 있도록 REST API를 통해 Docker 데몬을 노출하는 경우가 많습니다. 그러나 원격 서버가 제대로 구성되지 않은 경우(예: 공개적으로 액세스할 수 있도록 설정) 공격자가 서버를 악용할 수 있다고 Surana는 말합니다.
이러한 경우 위협 행위자는 악성 스크립트를 실행하는 이미지에서 손상된 서버의 컨테이너를 가동할 수 있습니다. 일반적으로 이러한 악성 이미지는 DockerHub, Amazon Elastic Container Registry(ECR) 및 Alibaba Container Registry와 같은 컨테이너 레지스트리에서 호스팅됩니다. 공격자는 다음 중 하나를 사용할 수 있습니다. 손상된 계정 Trend Micro는 이전에 이러한 레지스트리에 악성 이미지를 호스팅하거나 자체적으로 설정할 수 있다고 언급했습니다. 공격자는 자신의 개인 컨테이너 레지스트리에 악성 이미지를 호스팅할 수도 있습니다.
악성 이미지에서 생성된 컨테이너는 다양한 악성 활동에 사용될 수 있다고 Surana는 말합니다. 그는 “Docker를 실행하는 서버에서 Docker Daemon이 REST API를 통해 공개적으로 노출되면 공격자가 공격자가 제어하는 이미지를 기반으로 호스트에 컨테이너를 남용하고 생성할 수 있습니다.”라고 말합니다.
수많은 사이버 공격자 페이로드 옵션
이러한 이미지에는 암호화폐 채굴기, 익스플로잇 킷, 컨테이너 이스케이프 도구, 네트워크 및 열거 도구가 포함될 수 있습니다. 분석에 따르면 “공격자는 이러한 컨테이너를 사용하여 환경 내에서 크립토재킹, 서비스 거부, 측면 이동, 권한 상승 및 기타 기술을 수행할 수 있습니다.”라고 합니다.
“Docker와 같은 개발자 중심 도구는 광범위하게 남용되는 것으로 알려져 있습니다. 액세스 및 자격 증명 사용에 대한 정책을 만들고 환경에 대한 위협 모델을 생성하여 [개발자]를 전반적으로 교육하는 것이 중요합니다.”라고 Surana는 주장합니다.
또한 조직은 악용을 최소화하기 위해 컨테이너와 API가 항상 적절하게 구성되어 있는지 확인해야 합니다. 여기에는 내부 네트워크나 신뢰할 수 있는 소스에서만 액세스할 수 있도록 하는 것이 포함됩니다. 또한 보안 강화를 위한 Docker의 지침을 따라야 합니다. Surana는 “사용자 자격 증명을 표적으로 삼는 악성 오픈 소스 패키지의 수가 증가함에 따라 사용자는 자격 증명을 파일에 저장하는 것을 피해야 합니다. 대신 자격증명 저장소, 도우미 등의 도구를 선택하는 것이 좋습니다.”
