Một lỗi bảo mật hoạt động rõ ràng của một thành viên trong nhóm đe dọa TeamTNT đã làm lộ ra một số chiến thuật mà nhóm này sử dụng để khai thác các máy chủ Docker có cấu hình kém.
Các nhà nghiên cứu bảo mật từ Trend Micro gần đây đã thiết lập một honeypot với API Docker REST bị lộ để thử và hiểu cách thức các tác nhân đe dọa nói chung đang khai thác các lỗ hổng và cấu hình sai trong nền tảng bộ chứa đám mây được sử dụng rộng rãi. Họ đã phát hiện ra TeamTNT — một nhóm được biết đến với các chiến dịch dành riêng cho đám mây của nó — thực hiện ít nhất ba lần để khai thác Docker honeypot của nó.
Nitesh Surana, kỹ sư nghiên cứu mối đe dọa tại Trend Micro cho biết: “Trên một trong những honeypot của chúng tôi, chúng tôi đã cố tình để lộ một máy chủ có Docker Daemon được hiển thị qua API REST”. Surana cho biết: “Các tác nhân đe dọa đã tìm thấy cấu hình sai và khai thác nó ba lần từ các IP có trụ sở tại Đức, nơi chúng đã đăng nhập vào sổ đăng ký DockerHub của mình”. “Dựa trên quan sát của chúng tôi, động cơ của kẻ tấn công là khai thác API Docker REST và xâm phạm máy chủ cơ bản để thực hiện mã hóa.”
Nhà cung cấp bảo mật phân tích hoạt động cuối cùng đã dẫn đến việc phát hiện ra thông tin đăng nhập của ít nhất hai tài khoản DockerHub mà TeamTNT kiểm soát (nhóm đang lạm dụng dịch vụ Đăng ký vùng chứa miễn phí của DockerHub) và đang sử dụng để phân phối nhiều loại tải trọng độc hại, bao gồm cả công cụ khai thác tiền xu.
Một trong những tài khoản (có tên “alpineos”) đã lưu trữ hình ảnh vùng chứa độc hại chứa rootkit, bộ công cụ thoát khỏi vùng chứa Docker, công cụ khai thác xu XMRig Monero, kẻ đánh cắp thông tin xác thực và bộ công cụ khai thác Kubernetes.
Trend Micro đã phát hiện ra rằng hình ảnh độc hại đã được tải xuống hơn 150,000 lần, điều này có thể dẫn đến một loạt các vụ lây nhiễm.
Tài khoản còn lại (sandeep078) đã lưu trữ một hình ảnh vùng chứa độc hại tương tự nhưng có ít lượt “kéo” hơn - chỉ khoảng 200 - so với tài khoản trước. Trend Micro đã chỉ ra ba tình huống có thể dẫn đến rò rỉ thông tin xác thực tài khoản đăng ký TeamTNT Docker. Chúng bao gồm việc không đăng xuất được khỏi tài khoản DockerHub hoặc máy của họ bị tự lây nhiễm.
Hình ảnh bộ chứa đám mây độc hại: Một tính năng hữu ích
Các nhà phát triển thường hiển thị trình nền Docker qua API REST của nó để họ có thể tạo vùng chứa và chạy các lệnh Docker trên các máy chủ từ xa. Tuy nhiên, nếu các máy chủ từ xa không được định cấu hình đúng cách — chẳng hạn như bằng cách cho phép chúng có thể truy cập công khai — những kẻ tấn công có thể khai thác các máy chủ, Surana nói.
Trong những trường hợp này, các tác nhân đe dọa có thể tạo ra một vùng chứa trên máy chủ bị xâm nhập từ các hình ảnh thực thi các tập lệnh độc hại. Thông thường, những hình ảnh độc hại này được lưu trữ trên các cơ quan đăng ký vùng chứa như DockerHub, Cơ quan đăng ký vùng chứa đàn hồi Amazon (ECR) và Cơ quan đăng ký vùng chứa Alibaba. Kẻ tấn công có thể sử dụng một trong hai tài khoản bị xâm phạm trên các cơ quan đăng ký này để lưu trữ các hình ảnh độc hại hoặc chúng có thể thiết lập hình ảnh của riêng mình, Trend Micro đã lưu ý trước đây. Những kẻ tấn công cũng có thể lưu trữ các hình ảnh độc hại trên sổ đăng ký bộ chứa riêng của chúng.
Surana lưu ý rằng các vùng chứa được tạo ra từ một hình ảnh độc hại có thể được sử dụng cho nhiều hoạt động độc hại khác nhau. Ông nói: “Khi một máy chủ chạy Docker có Docker Daemon của nó được hiển thị công khai qua API REST, kẻ tấn công có thể lạm dụng và tạo các vùng chứa trên máy chủ dựa trên các hình ảnh do kẻ tấn công kiểm soát”.
Rất nhiều tùy chọn tải trọng của Cyberattacker
Những hình ảnh này có thể chứa công cụ khai thác tiền điện tử, bộ công cụ khai thác, công cụ thoát container, mạng và công cụ liệt kê. Theo phân tích, “Những kẻ tấn công có thể thực hiện tấn công tiền điện tử, từ chối dịch vụ, chuyển động ngang, leo thang đặc quyền và các kỹ thuật khác trong môi trường bằng cách sử dụng các vùng chứa này”.
“Các công cụ lấy nhà phát triển làm trung tâm như Docker được biết là bị lạm dụng rộng rãi. Điều quan trọng là phải giáo dục [các nhà phát triển] nói chung bằng cách tạo ra các chính sách về quyền truy cập và sử dụng thông tin xác thực, cũng như tạo ra các mô hình mối đe dọa trong môi trường của họ,” Surana ủng hộ.
Các tổ chức cũng nên đảm bảo rằng các bộ chứa và API luôn được cấu hình đúng cách để giảm thiểu việc khai thác. Điều này bao gồm việc đảm bảo rằng chúng chỉ có thể được truy cập bởi mạng nội bộ hoặc bởi các nguồn đáng tin cậy. Ngoài ra, họ nên tuân theo hướng dẫn của Docker để tăng cường bảo mật. Surana cho biết: “Với số lượng ngày càng tăng các gói nguồn mở độc hại nhắm vào thông tin xác thực của người dùng, “người dùng nên tránh lưu trữ thông tin xác thực trong các tệp. Thay vào đó, họ nên chọn các công cụ như cửa hàng thông tin xác thực và người trợ giúp.”
