Очевидна помилка в операційній безпеці члена групи загроз TeamTNT виявила деякі тактики, які вона використовує для використання погано налаштованих серверів Docker.
Дослідники безпеки з Trend Micro нещодавно створили приманку з відкритим API Docker REST, щоб спробувати зрозуміти, як загрозливі особи в цілому використовують уразливості та неправильні конфігурації широко використовуваної платформи хмарних контейнерів. Вони відкрили TeamTNT — відому групу свої хмарні кампанії — зробив щонайменше три спроби використати свою приманку Docker.
«На одному з наших honeypots ми навмисно розкрили сервер із Docker Daemon, відкритим через REST API», — каже Нітеш Сурана, інженер із дослідження загроз у Trend Micro. «Зловмисники виявили неправильну конфігурацію та тричі використали її з IP-адрес у Німеччині, де вони ввійшли в свій реєстр DockerHub», — каже Сурана. «Згідно з нашими спостереженнями, мотивація зловмисника полягала в тому, щоб використати Docker REST API і скомпрометувати базовий сервер для здійснення криптозлому».
Постачальник безпеки аналіз діяльності врешті-решт призвело до виявлення облікових даних принаймні двох облікових записів DockerHub, які контролювала TeamTNT (група зловживала безкоштовними службами реєстру контейнерів DockerHub) і використовувала для розповсюдження різноманітних зловмисних корисних навантажень, зокрема майнерів монет.
Один із облікових записів (під назвою «alpineos») містив образ шкідливого контейнера, що містить руткіти, набори для виходу з контейнера Docker, майнер монет XMRig Monero, викрадачі облікових даних і набори експлойтів Kubernetes.
Trend Micro виявила, що шкідливе зображення було завантажено понад 150,000 XNUMX разів, що могло призвести до широкого зараження.
Інший обліковий запис (sandeep078) містив подібний образ шкідливого контейнера, але мав набагато менше «витягувань» — лише близько 200 — порівняно з попереднім. Trend Micro вказала на три сценарії, які, ймовірно, призвели до витоку облікових даних реєстру TeamTNT Docker. Серед них — неможливість вийти з облікового запису DockerHub або самозараження їхніх машин.
Зловмисні хмарні контейнерні зображення: корисна функція
Розробники часто розкривають демон Docker через його REST API, щоб вони могли створювати контейнери та запускати команди Docker на віддалених серверах. Однак, якщо віддалені сервери не налаштовані належним чином — наприклад, якщо зробити їх загальнодоступними — зловмисники можуть використати сервери, говорить Сурана.
У таких випадках зловмисники можуть створити контейнер на скомпрометованому сервері із зображень, які виконують шкідливі сценарії. Як правило, ці шкідливі образи розміщуються в реєстрах контейнерів, таких як DockerHub, Amazon Elastic Container Registry (ECR) і Alibaba Container Registry. Зловмисники можуть використовувати будь-яке з них скомпрометовані облікові записи у цих реєстрах для розміщення шкідливих зображень, або вони можуть створити власні, раніше зазначала Trend Micro. Зловмисники також можуть розміщувати шкідливі зображення у власному приватному реєстрі контейнерів.
Сурана зазначає, що контейнери, створені зі шкідливого образу, можна використовувати для різноманітних шкідливих дій. «Коли сервер, на якому працює Docker, має відкритий доступ до Docker Daemon через REST API, зловмисник може зловживати та створювати контейнери на хості на основі керованих зловмисником зображень», — каже він.
Велика кількість варіантів корисного навантаження для кібератаків
Ці зображення можуть містити криптомайнери, набори експлойтів, інструменти виходу з контейнерів, мережу та інструменти перерахування. Згідно з аналізом, «зловмисники можуть виконувати крипто-зловмисники, відмову в обслуговуванні, бічні переміщення, підвищення привілеїв та інші методи в середовищі за допомогою цих контейнерів».
«Відомо, що орієнтовані на розробників інструменти, такі як Docker, часто зловживають. Важливо навчати [розробників] загалом, створюючи політики для доступу та використання облікових даних, а також створюючи моделі загроз для їхнього середовища», – виступає Сурана.
Організації також повинні переконатися, що контейнери та API завжди належним чином налаштовані для мінімізації експлойтів. Це включає гарантування того, що вони доступні лише у внутрішній мережі або надійних джерелах. Крім того, вони повинні дотримуватися вказівок Docker щодо посилення безпеки. «Зі зростанням кількості шкідливих пакетів з відкритим кодом, націлених на облікові дані користувача, — каже Сурана, — користувачі повинні уникати зберігання облікових даних у файлах. Замість цього їм рекомендується вибрати такі інструменти, як сховища облікових даних і помічники».
