Een ogenschijnlijk foutje in de operationele beveiliging door een lid van de TeamTNT-bedreigingsgroep heeft enkele van de tactieken blootgelegd die zij gebruiken om slecht geconfigureerde Docker-servers te misbruiken.
Beveiligingsonderzoekers van Trend Micro hebben onlangs een honeypot opgezet met een blootgestelde Docker REST API om te proberen te begrijpen hoe bedreigingsactoren in het algemeen kwetsbaarheden en verkeerde configuraties in het veelgebruikte cloudcontainerplatform uitbuiten. Ze ontdekten TeamTNT, een groep die bekend staat om zijn cloudspecifieke campagnes โ minstens drie pogingen ondernemen om zijn Docker-honingpot te exploiteren.
โOp een van onze honeypots hadden we opzettelijk een server blootgelegd waarop de Docker Daemon via de REST API was blootgesteldโ, zegt Nitesh Surana, threat research engineer bij Trend Micro. โDe bedreigingsactoren ontdekten de verkeerde configuratie en maakten er driemaal misbruik van vanaf IPโs in Duitsland, waar ze waren ingelogd op hun DockerHub-registerโ, zegt Surana. โOp basis van onze waarneming was de motivatie van de aanvaller om de Docker REST API te misbruiken en de onderliggende server te compromitteren om cryptojacking uit te voeren.โ
Van de beveiligingsleverancier analyse van de activiteit leidde uiteindelijk tot het blootleggen van inloggegevens voor ten minste twee DockerHub-accounts die TeamTNT beheerde (de groep maakte misbruik van de DockerHub-gratis Container Registry-services) en gebruikte deze om een โโverscheidenheid aan kwaadaardige ladingen te verspreiden, waaronder muntmijnwerkers.
Eรฉn van de accounts (met de naam โalpineosโ) hostte een kwaadaardige containerimage met rootkits, kits voor Docker-containerontsnapping, de XMRig Monero-muntmijnwerker, credential-stekers en Kubernetes-exploitkits.
Trend Micro ontdekte dat de kwaadaardige afbeelding meer dan 150,000 keer was gedownload, wat zich zou kunnen vertalen in een groot aantal infecties.
Het andere account (sandeep078) hostte een soortgelijke kwaadaardige containerimage, maar had veel minder โpullsโ (ongeveer 200) vergeleken met het eerste account. Trend Micro wees op drie scenario's die waarschijnlijk hebben geresulteerd in het lekken van de inloggegevens van het TeamTNT Docker-registeraccount. Deze omvatten het niet uitloggen van het DockerHub-account of het feit dat hun machines zelf worden geรฏnfecteerd.
Schadelijke cloudcontainerafbeeldingen: een nuttige functie
Ontwikkelaars stellen de Docker-daemon vaak beschikbaar via de REST API, zodat ze containers kunnen maken en Docker-opdrachten kunnen uitvoeren op externe servers. Als de externe servers echter niet goed zijn geconfigureerd โ bijvoorbeeld door ze openbaar toegankelijk te maken โ kunnen aanvallers de servers misbruiken, zegt Surana.
In deze gevallen kunnen bedreigingsactoren een container op de gecompromitteerde server starten op basis van afbeeldingen die kwaadaardige scripts uitvoeren. Meestal worden deze kwaadaardige afbeeldingen gehost in containerregisters zoals DockerHub, Amazon Elastic Container Registry (ECR) en Alibaba Container Registry. Aanvallers kunnen beide gebruiken gecompromitteerde rekeningen in deze registers om de kwaadaardige afbeeldingen te hosten, of ze kunnen hun eigen afbeeldingen maken, heeft Trend Micro eerder opgemerkt. Aanvallers kunnen ook kwaadaardige afbeeldingen hosten in hun eigen privรฉcontainerregister.
Containers die voortkomen uit een kwaadaardig beeld kunnen voor allerlei kwaadaardige activiteiten worden gebruikt, merkt Surana op. โWanneer een server waarop Docker draait zijn Docker Daemon publiekelijk toegankelijk maakt via de REST API, kan een aanvaller misbruik maken en containers op de host maken op basis van door de aanvaller bestuurde afbeeldingenโ, zegt hij.
Een overvloed aan payload-opties voor cyberaanvallers
Deze afbeeldingen kunnen cryptominers, exploitkits, container-escape-tools, netwerk- en opsommingstools bevatten. โAanvallers kunnen met behulp van deze containers crypto-jacking, Denial of Service, laterale beweging, escalatie van privileges en andere technieken binnen de omgeving uitvoerenโ, aldus de analyse.
โHet is bekend dat op ontwikkelaars gerichte tools zoals Docker op grote schaal worden misbruikt. Het is belangrijk om [ontwikkelaars] in het algemeen op te leiden door beleid te creรซren voor toegang en gebruik van inloggegevens, en door bedreigingsmodellen voor hun omgevingen te genererenโ, pleit Surana.
Organisaties moeten er ook voor zorgen dat containers en APIโs altijd correct zijn geconfigureerd om ervoor te zorgen dat exploits tot een minimum worden beperkt. Dit houdt onder meer in dat ervoor moet worden gezorgd dat ze alleen toegankelijk zijn via het interne netwerk of door vertrouwde bronnen. Bovendien moeten ze de richtlijnen van Docker voor het versterken van de beveiliging volgen. โMet het stijgende aantal kwaadaardige open source-pakketten die zich richten op gebruikersreferenties,โ zegt Surana, โmoeten gebruikers vermijden om inloggegevens in bestanden op te slaan. In plaats daarvan wordt hen geadviseerd om te kiezen voor hulpmiddelen zoals referentiebanken en helpers.โ
