Očiten operativni varnostni spodrsljaj člana skupine groženj TeamTNT je razkril nekatere taktike, ki jih uporablja za izkoriščanje slabo konfiguriranih strežnikov Docker.
Varnostni raziskovalci iz podjetja Trend Micro so pred kratkim postavili honeypot z razkritim API-jem Docker REST, da bi poskusili razumeti, kako akterji groženj na splošno izkoriščajo ranljivosti in napačne konfiguracije v široko uporabljeni platformi vsebnikov v oblaku. Odkrili so TeamTNT — skupino, ki je znana po svoje kampanje, specifične za oblak — vsaj tri poskuse izkoriščanja njegovega medenjaka Docker.
»Na enem od naših honeypotov smo namenoma razkrili strežnik z Docker Daemon, izpostavljenim preko REST API-ja,« pravi Nitesh Surana, inženir za raziskave groženj pri Trend Micro. »Akterji grožnje so našli napačno konfiguracijo in jo trikrat izkoristili z naslovov IP v Nemčiji, kjer so bili prijavljeni v svoj register DockerHub,« pravi Surana. "Na podlagi našega opazovanja je bila motivacija napadalca, da izkoristi API Docker REST in ogrozi osnovni strežnik za izvajanje kriptojackinga."
Prodajalca varnosti analizo dejavnosti sčasoma je privedlo do odkritja poverilnic za vsaj dva računa DockerHub, ki ju je nadzoroval TeamTNT (skupina je zlorabljala brezplačne storitve registra vsebnikov DockerHub) in ju je uporabljala za distribucijo različnih zlonamernih obremenitev, vključno z rudarji kovancev.
Eden od računov (z imenom »alpineos«) je gostil sliko zlonamernega vsebnika, ki vsebuje rootkite, komplete za pobeg iz vsebnika Docker, rudar kovancev XMRig Monero, kraje poverilnic in komplete za izkoriščanje Kubernetes.
Trend Micro je odkril, da je bila zlonamerna slika prenesena več kot 150,000-krat, kar bi lahko povzročilo širok spekter okužb.
Drugi račun (sandeep078) je gostil podobno sliko zlonamernega vsebnika, vendar je imel v primerjavi s prvim veliko manj »povlekov« – le približno 200. Trend Micro je opozoril na tri scenarije, ki so verjetno povzročili uhajanje poverilnic registrskega računa TeamTNT Docker. Ti vključujejo neuspešno odjavo iz računa DockerHub ali samookužbo njihovih strojev.
Zlonamerne slike vsebnika v oblaku: uporabna funkcija
Razvijalci pogosto izpostavijo demon Docker prek njegovega API-ja REST, da lahko ustvarijo vsebnike in izvajajo ukaze Docker na oddaljenih strežnikih. Če pa oddaljeni strežniki niso pravilno konfigurirani - na primer tako, da so javno dostopni - lahko napadalci izkoristijo strežnike, pravi Surana.
V teh primerih lahko akterji groženj zavrtijo vsebnik na ogroženem strežniku iz slik, ki izvajajo zlonamerne skripte. Običajno te zlonamerne slike gostujejo v registrih vsebnikov, kot so DockerHub, Amazon Elastic Container Registry (ECR) in Alibaba Container Registry. Napadalci lahko uporabijo oboje ogroženi računi v teh registrih za gostovanje zlonamernih slik ali pa lahko vzpostavijo lastne, je Trend Micro že opozoril. Napadalci lahko zlonamerne slike gostijo tudi v svojem zasebnem registru vsebnikov.
Vsebnike, ki nastanejo iz zlonamerne slike, je mogoče uporabiti za različne zlonamerne dejavnosti, ugotavlja Surana. »Ko ima strežnik, v katerem se izvaja Docker, svoj Docker Daemon javno izpostavljen prek API-ja REST, lahko napadalec zlorablja in ustvari vsebnike na gostitelju na podlagi slik, ki jih nadzoruje napadalec,« pravi.
Obilje možnosti koristne obremenitve kibernetskih napadalcev
Te slike lahko vsebujejo kriptominerje, komplete za izkoriščanje, orodja za pobeg iz vsebnika, omrežja in orodja za številčenje. "Napadalci bi lahko v okolju z uporabo teh vsebnikov izvedli kripto-jacking, zavrnitev storitve, bočno premikanje, stopnjevanje privilegijev in druge tehnike," v skladu z analizo.
»Orodja, osredotočena na razvijalce, kot je Docker, so bila znana po obsežni zlorabi. Pomembno je izobraževati [razvijalce] na splošno z ustvarjanjem politik za dostop in uporabo poverilnic, kot tudi z ustvarjanjem modelov groženj za njihova okolja,« zagovarja Surana.
Organizacije bi morale tudi zagotoviti, da so vsebniki in API-ji vedno pravilno konfigurirani, da se zagotovi čim manjše število zlorab. To vključuje zagotavljanje, da so dostopni le prek notranjega omrežja ali zaupanja vrednih virov. Poleg tega naj upoštevajo Dockerjeve smernice za krepitev varnosti. »Glede na naraščajoče število zlonamernih odprtokodnih paketov, ki ciljajo na uporabniške poverilnice,« pravi Surana, »se morajo uporabniki izogibati shranjevanju poverilnic v datotekah. Namesto tega jim svetujemo, da izberejo orodja, kot so shramba poverilnic in pomočniki.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
