การลื่นไถลด้านความปลอดภัยในการปฏิบัติงานที่เห็นได้ชัดโดยสมาชิกของกลุ่มภัยคุกคาม TeamTNT ได้เปิดโปงกลวิธีบางอย่างที่ใช้เพื่อใช้ประโยชน์จากเซิร์ฟเวอร์ Docker ที่มีการกำหนดค่าไม่ดี
เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยจาก Trend Micro ได้ตั้งค่า honeypot ด้วย Docker REST API ที่เปิดเผย เพื่อพยายามทำความเข้าใจว่าผู้คุกคามโดยทั่วไปใช้ประโยชน์จากช่องโหว่และการกำหนดค่าที่ผิดพลาดในแพลตฟอร์มคอนเทนเนอร์ระบบคลาวด์ที่ใช้กันอย่างแพร่หลายอย่างไร พวกเขาค้นพบ TeamTNT ซึ่งเป็นกลุ่มที่รู้จัก แคมเปญเฉพาะบนคลาวด์ - พยายามอย่างน้อยสามครั้งเพื่อใช้ประโยชน์จาก Docker honeypot
“ใน honeypots ของเรา เราจงใจเปิดเผยเซิร์ฟเวอร์ที่มี Docker Daemon เปิดเผยผ่าน REST API” Nitesh Surana วิศวกรวิจัยภัยคุกคามของ Trend Micro กล่าว “ผู้คุกคามพบการกำหนดค่าที่ไม่ถูกต้องและใช้ประโยชน์จาก IP สามครั้งในเยอรมนี ซึ่งพวกเขาเข้าสู่ระบบรีจิสทรี DockerHub” Surana กล่าว “จากการสังเกตของเรา แรงจูงใจของผู้โจมตีคือการใช้ประโยชน์จาก Docker REST API และประนีประนอมเซิร์ฟเวอร์พื้นฐานเพื่อดำเนินการ cryptojacking”
ผู้จำหน่ายระบบรักษาความปลอดภัย การวิเคราะห์กิจกรรม ในที่สุดก็นำไปสู่การเปิดเผยข้อมูลประจำตัวของบัญชี DockerHub อย่างน้อยสองบัญชีที่ TeamTNT ควบคุม (กลุ่มดังกล่าวใช้บริการ DockerHub ฟรีคอนเทนเนอร์ Registry ในทางที่ผิด) และใช้เพื่อแจกจ่ายเพย์โหลดที่เป็นอันตรายต่างๆ รวมถึงตัวขุดเหรียญ
หนึ่งในบัญชี (ชื่อ “alpineos”) โฮสต์อิมเมจคอนเทนเนอร์ที่เป็นอันตรายซึ่งมีรูทคิท ชุดคิทสำหรับการหลบหนีคอนเทนเนอร์ของ Docker ตัวขุดเหรียญ XMRig Monero ตัวขโมยข้อมูลประจำตัว และชุดโจมตี Kubernetes
Trend Micro ค้นพบว่าภาพที่เป็นอันตรายถูกดาวน์โหลดมากกว่า 150,000 ครั้ง ซึ่งอาจแปลเป็นการติดเชื้อในวงกว้าง
บัญชีอื่น (sandeep078) โฮสต์อิมเมจคอนเทนเนอร์ที่เป็นอันตรายที่คล้ายกัน แต่มี "ดึง" น้อยกว่ามาก - เพียงประมาณ 200 - เมื่อเทียบกับก่อนหน้านี้ Trend Micro ชี้ให้เห็นถึงสามสถานการณ์ที่อาจส่งผลให้เกิดการรั่วไหลของข้อมูลรับรองบัญชีรีจิสทรี TeamTNT Docker ซึ่งรวมถึงความล้มเหลวในการล็อกเอาต์จากบัญชี DockerHub หรือเครื่องที่ติดไวรัสในตัวเอง
อิมเมจคอนเทนเนอร์คลาวด์ที่เป็นอันตราย: คุณสมบัติที่มีประโยชน์
นักพัฒนามักจะเปิดเผย Docker daemon ผ่าน REST API เพื่อให้สามารถสร้างคอนเทนเนอร์และรันคำสั่ง Docker บนเซิร์ฟเวอร์ระยะไกลได้ อย่างไรก็ตาม หากเซิร์ฟเวอร์ระยะไกลไม่ได้รับการกำหนดค่าอย่างเหมาะสม เช่น การทำให้เข้าถึงได้แบบสาธารณะ ผู้โจมตีสามารถใช้ประโยชน์จากเซิร์ฟเวอร์ได้ Surana กล่าว
ในกรณีเหล่านี้ ผู้ก่อภัยคุกคามสามารถหมุนคอนเทนเนอร์บนเซิร์ฟเวอร์ที่ถูกบุกรุกจากอิมเมจที่เรียกใช้สคริปต์ที่เป็นอันตราย โดยทั่วไป รูปภาพที่เป็นอันตรายเหล่านี้จะโฮสต์อยู่ในการลงทะเบียนคอนเทนเนอร์ เช่น DockerHub, Amazon Elastic Container Registry (ECR) และ Alibaba Container Registry ผู้โจมตีสามารถใช้อย่างใดอย่างหนึ่ง บัญชีที่ถูกบุกรุก ในการลงทะเบียนเหล่านี้เพื่อโฮสต์รูปภาพที่เป็นอันตราย หรืออาจสร้างเองก็ได้ Trend Micro ได้ระบุไว้ก่อนหน้านี้ ผู้โจมตียังสามารถโฮสต์รูปภาพที่เป็นอันตรายในรีจีสทรีคอนเทนเนอร์ส่วนตัวของพวกเขาเอง
คอนเทนเนอร์ที่แยกจากภาพที่เป็นอันตรายสามารถใช้สำหรับกิจกรรมที่เป็นอันตรายต่างๆ Surana กล่าว “เมื่อเซิร์ฟเวอร์ที่ใช้ Docker มีการเปิดเผย Docker Daemon ต่อสาธารณะผ่าน REST API ผู้โจมตีสามารถใช้ในทางที่ผิดและสร้างคอนเทนเนอร์บนโฮสต์ตามภาพที่ควบคุมโดยผู้โจมตี” เขากล่าว
ตัวเลือก Payload ของ Cyberattacker มากมายเหลือเฟือ
อิมเมจเหล่านี้อาจมี cryptominers ชุดช่องโหว่ เครื่องมือ Escape ของคอนเทนเนอร์ เครือข่าย และเครื่องมือการแจงนับ “ผู้โจมตีสามารถดำเนินการ crypto-jacking, ปฏิเสธการให้บริการ, การเคลื่อนไหวด้านข้าง, การเพิ่มสิทธิ์ และเทคนิคอื่นๆ ภายในสภาพแวดล้อมโดยใช้คอนเทนเนอร์เหล่านี้” ตามการวิเคราะห์
“เครื่องมือสำหรับนักพัฒนาเช่น Docker เป็นที่ทราบกันดีว่าถูกใช้ในทางที่ผิดอย่างกว้างขวาง สิ่งสำคัญคือต้องให้ความรู้แก่ [นักพัฒนาซอฟต์แวร์] โดยการสร้างนโยบายสำหรับการเข้าถึงและการใช้ข้อมูลรับรอง ตลอดจนสร้างแบบจำลองภัยคุกคามในสภาพแวดล้อมของพวกเขา” ผู้สนับสนุน Surana
นอกจากนี้ องค์กรควรตรวจสอบให้แน่ใจว่าคอนเทนเนอร์และ API ได้รับการกำหนดค่าอย่างถูกต้องเสมอ เพื่อให้แน่ใจว่ามีการเอาเปรียบน้อยที่สุด ซึ่งรวมถึงการตรวจสอบให้แน่ใจว่าสามารถเข้าถึงได้จากเครือข่ายภายในหรือจากแหล่งที่เชื่อถือได้เท่านั้น นอกจากนี้ พวกเขาควรปฏิบัติตามแนวทางของ Docker เพื่อเสริมสร้างความปลอดภัย “ด้วยจำนวนแพ็คเกจโอเพ่นซอร์สที่เป็นอันตรายที่พุ่งเป้าไปที่ข้อมูลประจำตัวของผู้ใช้ที่เพิ่มขึ้น” Surana กล่าว “ผู้ใช้ควรหลีกเลี่ยงการจัดเก็บข้อมูลรับรองในไฟล์ แต่แนะนำให้เลือกเครื่องมือ เช่น ที่เก็บข้อมูลประจำตัวและตัวช่วยแทน”
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
