Pozorna wpadka w bezpieczeństwie operacyjnym popełniona przez członka grupy TeamTNT ujawniła niektóre z taktyk stosowanych w celu wykorzystania źle skonfigurowanych serwerów Docker.
Analitycy bezpieczeństwa z firmy Trend Micro utworzyli niedawno pułapkę typu honeypot z udostępnionym interfejsem API REST platformy Docker, aby spróbować zrozumieć, w jaki sposób cyberprzestępcy ogólnie wykorzystują luki w zabezpieczeniach i błędne konfiguracje szeroko stosowanej platformy kontenerów w chmurze. Odkryli TeamTNT — grupę znaną z swoich kampanii w chmurze — co najmniej trzy próby wykorzystania swojego honeypota Dockera.
„W jednym z naszych honeypotów celowo udostępniliśmy serwer z demonem Dockera za pośrednictwem REST API” — mówi Nitesh Surana, inżynier ds. badań nad zagrożeniami w firmie Trend Micro. „Oszuści wykryli błędną konfigurację i wykorzystali ją trzykrotnie z adresów IP znajdujących się w Niemczech, gdzie byli zalogowani do swojego rejestru DockerHub” — mówi Surana. „Na podstawie naszych obserwacji motywacją atakującego było wykorzystanie interfejsu API REST Dockera i złamanie zabezpieczeń serwera bazowego w celu przeprowadzenia cryptojackingu”.
Dostawca zabezpieczeń analiza działalności ostatecznie doprowadziło do ujawnienia danych uwierzytelniających dla co najmniej dwóch kont DockerHub kontrolowanych przez TeamTNT (grupa nadużywała bezpłatnych usług Container Registry DockerHub) i używała ich do dystrybucji różnych złośliwych ładunków, w tym kopaczy monet.
Jedno z kont (o nazwie „alpineos”) zawierało szkodliwy obraz kontenera zawierający rootkity, zestawy do ucieczki z kontenera Docker, narzędzie do wydobywania monet XMRig Monero, narzędzia do kradzieży danych uwierzytelniających oraz zestawy exploitów Kubernetes.
Firma Trend Micro odkryła, że złośliwy obraz został pobrany ponad 150,000 XNUMX razy, co może przełożyć się na szeroki zakres infekcji.
Drugie konto (sandeep078) zawierało podobny szkodliwy obraz kontenera, ale miało znacznie mniej „pobrań” — zaledwie około 200 — w porównaniu z pierwszym kontem. Firma Trend Micro wskazała trzy scenariusze, które prawdopodobnie doprowadziły do wycieku poświadczeń konta rejestru TeamTNT Docker. Należą do nich brak wylogowania z konta DockerHub lub samoinfekcja ich maszyn.
Złośliwe obrazy kontenerów w chmurze: przydatna funkcja
Deweloperzy często udostępniają demona Docker za pośrednictwem interfejsu API REST, aby mogli tworzyć kontenery i uruchamiać polecenia Docker na zdalnych serwerach. Surana mówi jednak, że jeśli serwery zdalne nie są odpowiednio skonfigurowane — na przykład udostępniając je publicznie — osoby atakujące mogą je wykorzystać.
W takich przypadkach cyberprzestępcy mogą uruchomić kontener na zaatakowanym serwerze z obrazów, które wykonują złośliwe skrypty. Zazwyczaj te złośliwe obrazy są hostowane w rejestrach kontenerów, takich jak DockerHub, Amazon Elastic Container Registry (ECR) i Alibaba Container Registry. Atakujący mogą używać obu przejęte konta w tych rejestrach w celu hostowania złośliwych obrazów lub mogą tworzyć własne, jak wcześniej zauważyła firma Trend Micro. Atakujący mogą również hostować złośliwe obrazy we własnym prywatnym rejestrze kontenerów.
Surana zauważa, że kontenery utworzone ze złośliwego obrazu mogą być wykorzystywane do różnych złośliwych działań. „Gdy serwer, na którym działa Docker, udostępnia publicznie demona Dockera za pośrednictwem interfejsu API REST, osoba atakująca może nadużyć i utworzyć kontenery na hoście w oparciu o obrazy kontrolowane przez osobę atakującą” — mówi.
Mnóstwo opcji ładunku cyberatakującego
Obrazy te mogą zawierać narzędzia do wydobywania kryptowaluty, zestawy exploitów, narzędzia do ucieczki z kontenerów, narzędzia sieciowe i wyliczające. „Napastnicy mogą przeprowadzać przechwytywanie kryptowalut, atak typu „odmowa usługi”, ruch boczny, eskalację uprawnień i inne techniki w środowisku przy użyciu tych kontenerów” — wynika z analizy.
„Narzędzia zorientowane na programistów, takie jak Docker, były powszechnie nadużywane. Ważne jest, aby ogólnie edukować [deweloperów] poprzez tworzenie zasad dostępu i korzystania z poświadczeń, a także generować modele zagrożeń dla ich środowisk” — opowiada Surana.
Organizacje powinny również upewnić się, że kontenery i interfejsy API są zawsze odpowiednio skonfigurowane, aby zapewnić minimalizację exploitów. Obejmuje to zapewnienie, że są one dostępne tylko z sieci wewnętrznej lub z zaufanych źródeł. Ponadto powinni postępować zgodnie z wytycznymi Dockera dotyczącymi wzmacniania bezpieczeństwa. „Wraz z rosnącą liczbą złośliwych pakietów open source, których celem są dane uwierzytelniające użytkownika”, mówi Surana, „użytkownicy powinni unikać przechowywania danych uwierzytelniających w plikach. Zamiast tego zaleca się im wybranie narzędzi, takich jak magazyny danych uwierzytelniających i pomocników”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
