Очевидная ошибка в обеспечении операционной безопасности со стороны члена группы угроз TeamTNT раскрыла некоторые тактики, которые он использует для использования плохо настроенных серверов Docker.
Исследователи безопасности из Trend Micro недавно создали приманку с открытым API-интерфейсом Docker REST, чтобы попытаться понять, как злоумышленники в целом используют уязвимости и неправильные конфигурации в широко используемой платформе облачных контейнеров. Они обнаружили TeamTNT — группу, известную его облачные кампании — предприняв как минимум три попытки использовать приманку Docker.
«В одной из наших приманок мы намеренно открыли доступ к серверу с Docker Daemon через REST API, — говорит Нитеш Сурана, инженер-исследователь угроз в Trend Micro. «Субъекты угрозы обнаружили неправильную конфигурацию и трижды воспользовались ею с IP-адресов, расположенных в Германии, где они вошли в свой реестр DockerHub», — говорит Сурана. «Исходя из нашего наблюдения, мотивация злоумышленника заключалась в том, чтобы использовать Docker REST API и скомпрометировать базовый сервер для выполнения криптоджекинга».
Поставщик безопасности анализ деятельности в конечном итоге привели к раскрытию учетных данных как минимум для двух учетных записей DockerHub, которые контролировала TeamTNT (группа злоупотребляла бесплатными службами DockerHub Container Registry) и использовала их для распространения различных вредоносных полезных нагрузок, включая майнеры монет.
На одной из учетных записей (с именем «alpineos») размещался образ вредоносного контейнера, содержащий руткиты, наборы для побега контейнера Docker, майнер монет XMRig Monero, похитители учетных данных и наборы эксплойтов Kubernetes.
Trend Micro обнаружила, что вредоносный образ был загружен более 150,000 XNUMX раз, что может привести к большому количеству заражений.
Другая учетная запись (sandeep078) содержала аналогичный образ вредоносного контейнера, но у нее было гораздо меньше «вытягиваний» — всего около 200 — по сравнению с первой. Trend Micro указала на три сценария, которые, вероятно, привели к утечке учетных данных учетной записи реестра TeamTNT Docker. К ним относятся сбой выхода из учетной записи DockerHub или самозаражение их компьютеров.
Вредоносные образы облачных контейнеров: полезная функция
Разработчики часто предоставляют демон Docker через его REST API, чтобы они могли создавать контейнеры и запускать команды Docker на удаленных серверах. Однако, если удаленные серверы не настроены должным образом — например, если сделать их общедоступными — злоумышленники могут использовать серверы, говорит Сурана.
В этих случаях злоумышленники могут создать контейнер на скомпрометированном сервере из образов, выполняющих вредоносные сценарии. Как правило, эти вредоносные образы размещаются в реестрах контейнеров, таких как DockerHub, Amazon Elastic Container Registry (ECR) и Alibaba Container Registry. Злоумышленники могут использовать либо скомпрометированные аккаунты в этих реестрах для размещения вредоносных образов или могут создавать свои собственные, как ранее отмечала Trend Micro. Злоумышленники также могут размещать вредоносные образы в собственном частном реестре контейнеров.
Сурана отмечает, что контейнеры, созданные из вредоносного образа, могут использоваться для различных вредоносных действий. «Когда на сервере, на котором работает Docker, его Docker Daemon публично открыт через REST API, злоумышленник может злоупотреблять и создавать контейнеры на хосте на основе образов, контролируемых злоумышленником», — говорит он.
Множество вариантов полезной нагрузки кибератак
Эти образы могут содержать криптомайнеры, наборы эксплойтов, средства побега из контейнеров, сети и средства перечисления. «Злоумышленники могут выполнять крипто-взлом, отказ в обслуживании, горизонтальное перемещение, повышение привилегий и другие методы в среде с использованием этих контейнеров», — говорится в анализе.
«Известно, что инструментами, ориентированными на разработчиков, такими как Docker, активно злоупотребляют. Важно обучать [разработчиков] в целом, создавая политики для доступа и использования учетных данных, а также создавая модели угроз для их сред», — отстаивает Сурана.
Организации также должны убедиться, что контейнеры и API всегда правильно настроены, чтобы свести к минимуму эксплойты. Это включает обеспечение того, чтобы они были доступны только из внутренней сети или из надежных источников. Кроме того, они должны следовать рекомендациям Docker по усилению безопасности. «С ростом числа вредоносных пакетов с открытым исходным кодом, нацеленных на учетные данные пользователей, — говорит Сурана, — пользователям следует избегать хранения учетных данных в файлах. Вместо этого им рекомендуется выбирать такие инструменты, как хранилища учетных данных и помощники».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
