O aparentă eroare de securitate operațională a unui membru al grupului de amenințări TeamTNT a dezvăluit unele dintre tacticile pe care le folosește pentru a exploata serverele Docker prost configurate.
Cercetătorii de securitate de la Trend Micro au înființat recent un honeypot cu un API Docker REST expus pentru a încerca să înțeleagă modul în care actorii amenințărilor, în general, exploatează vulnerabilitățile și configurările greșite în platforma de containere cloud utilizată pe scară largă. Au descoperit TeamTNT — un grup cunoscut pentru campaniile sale specifice cloud — făcând cel puțin trei încercări de a-și exploata honeypot Docker.
„Pe unul dintre honeypot-urile noastre, am expus în mod intenționat un server cu Daemonul Docker expus prin API-ul REST”, spune Nitesh Surana, inginer de cercetare a amenințărilor la Trend Micro. „Actorii amenințărilor au găsit configurația greșită și au exploatat-o de trei ori de la IP-uri cu sediul în Germania, unde au fost conectați la registrul lor DockerHub”, spune Surana. „Pe baza observației noastre, motivația atacatorului a fost să exploateze API-ul Docker REST și să compromită serverul de bază pentru a efectua cryptojacking.”
A vânzătorului de securitate analiza activitatii în cele din urmă a dus la descoperirea acreditărilor pentru cel puțin două conturi DockerHub pe care TeamTNT le controla (grupul abuza de serviciile gratuite de Container Registry DockerHub) și le folosea pentru a distribui o varietate de încărcături utile rău intenționate, inclusiv mineri de monede.
Unul dintre conturi (cu numele „alpineos”) găzduia o imagine de container rău intenționat care conținea rootkit-uri, kituri pentru evadarea containerelor Docker, minerul de monede XMRig Monero, furori de acreditări și kituri de exploatare Kubernetes.
Trend Micro a descoperit că imaginea rău intenționată a fost descărcată de peste 150,000 de ori, ceea ce s-ar putea traduce într-o gamă largă de infecții.
Celălalt cont (sandeep078) a găzduit o imagine similară de container rău intenționat, dar a avut mult mai puține „trageri” – doar aproximativ 200 – în comparație cu primul. Trend Micro a subliniat trei scenarii care au dus probabil la scurgerea acreditărilor contului de registru TeamTNT Docker. Acestea includ eșecul de a deconecta din contul DockerHub sau mașinile lor fiind autoinfectate.
Imagini de containere cloud rău intenționate: o funcție utilă
Dezvoltatorii expun adesea demonul Docker prin API-ul REST, astfel încât să poată crea containere și să ruleze comenzi Docker pe servere la distanță. Cu toate acestea, dacă serverele de la distanță nu sunt configurate corect - de exemplu, făcându-le accesibile public - atacatorii pot exploata serverele, spune Surana.
În aceste cazuri, actorii amenințărilor pot crea un container pe serverul compromis din imagini care execută scripturi rău intenționate. De obicei, aceste imagini rău intenționate sunt găzduite în registre de containere, cum ar fi DockerHub, Amazon Elastic Container Registry (ECR) și Alibaba Container Registry. Atacatorii pot folosi oricare conturi compromise pe aceste registre pentru a găzdui imaginile rău intenționate sau pot stabili propriile lor, a observat anterior Trend Micro. Atacatorii pot găzdui, de asemenea, imagini rău intenționate în propriul registru privat al containerelor.
Containerele care sunt rotite dintr-o imagine rău intenționată pot fi folosite pentru o varietate de activități rău intenționate, notează Surana. „Când un server care rulează Docker are Daemonul său Docker expus public prin API-ul REST, un atacator poate abuza și poate crea containere pe gazdă pe baza imaginilor controlate de atacator”, spune el.
O multitudine de opțiuni de încărcare utilă pentru atacatorii cibernetici
Aceste imagini pot conține criptomineri, kituri de exploatare, instrumente de evacuare a containerelor, instrumente de rețea și de enumerare. „Atacatorii ar putea efectua crypto-jacking, denial of service, mișcare laterală, escaladare a privilegiilor și alte tehnici în mediu folosind aceste containere”, potrivit analizei.
„Se știe că instrumentele centrate pe dezvoltatori, precum Docker, sunt abuzate pe scară largă. Este important să educăm [dezvoltatorii] în general prin crearea de politici de acces și de utilizare a acreditărilor, precum și generarea de modele de amenințare pentru mediile lor”, susține Surana.
Organizațiile ar trebui, de asemenea, să se asigure că containerele și API-urile sunt întotdeauna configurate corect pentru a se asigura că exploatările sunt minimizate. Aceasta include asigurarea faptului că acestea sunt accesibile numai de către rețeaua internă sau de către surse de încredere. În plus, ar trebui să urmeze instrucțiunile Docker pentru consolidarea securității. „Odată cu creșterea numărului de pachete open source rău intenționate care vizează acreditările utilizatorilor”, spune Surana, „utilizatorii ar trebui să evite stocarea acreditărilor în fișiere. În schimb, ei sunt sfătuiți să aleagă instrumente, cum ar fi magazine de acreditări și ajutoare.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
