TeamTNT 威胁组织成员的一个明显的操作安全失误暴露了它用来利用配置不当的 Docker 服务器的一些策略。
趋势科技的安全研究人员最近设置了一个带有公开 Docker REST API 的蜜罐,以尝试了解威胁参与者通常如何利用广泛使用的云容器平台中的漏洞和错误配置。 他们发现了 TeamTNT——一个以 其针对云的活动 - 至少尝试三次利用其 Docker 蜜罐。
Trend Micro 的威胁研究工程师 Nitesh Surana 说:“在我们的一个蜜罐上,我们故意通过 REST API 暴露了带有 Docker Daemon 的服务器。” “威胁行为者发现了错误配置,并从位于德国的 IP 对其进行了三次利用,他们在那里登录了他们的 DockerHub 注册表,”Surana 说。 “根据我们的观察,攻击者的动机是利用 Docker REST API 并破坏底层服务器以执行加密劫持。”
安全供应商的 活动分析 最终导致发现至少两个 TeamTNT 控制的 DockerHub 帐户的凭据(该组织滥用 DockerHub 免费容器注册表服务)并用于分发各种恶意负载,包括硬币矿工。
其中一个帐户(名称为“alpineos”)托管了一个恶意容器映像,其中包含 Rootkit、Docker 容器逃逸工具包、XMRig Monero 硬币矿工、凭证窃取程序和 Kubernetes 漏洞利用工具包。
趋势科技发现恶意图像已被下载超过 150,000 次,这可能转化为广泛的感染。
另一个账户 (sandeep078) 托管了一个类似的恶意容器镜像,但与前者相比,“拉取”次数要少得多——只有大约 200 个。 趋势科技指出了三种可能导致 TeamTNT Docker 注册表帐户凭据泄露的情况。 其中包括无法从 DockerHub 帐户注销或他们的机器被自我感染。
恶意云容器镜像:一个有用的特性
开发人员经常通过其 REST API 公开 Docker 守护程序,以便他们可以创建容器并在远程服务器上运行 Docker 命令。 然而,如果远程服务器没有正确配置——例如,通过公开访问它们——攻击者可以利用这些服务器,Surana 说。
在这些情况下,威胁行为者可以从执行恶意脚本的图像中启动受感染服务器上的容器。 通常,这些恶意图像托管在 DockerHub、Amazon Elastic Container Registry (ECR) 和 Alibaba Container Registry 等容器注册表中。 攻击者可以使用 受损帐户 Trend Micro 此前曾指出,在这些注册表中托管恶意图像,或者他们可以建立自己的。 攻击者还可以在他们自己的私有容器注册表中托管恶意图像。
Surana 指出,从恶意图像旋转起来的容器可用于各种恶意活动。 “当运行 Docker 的服务器通过 REST API 公开其 Docker 守护进程时,攻击者可以根据攻击者控制的图像在主机上滥用和创建容器,”他说。
过多的网络攻击者有效负载选项
这些图像可能包含加密矿工、漏洞利用工具包、容器逃逸工具、网络和枚举工具。 “攻击者可以使用这些容器在环境中执行加密劫持、拒绝服务、横向移动、特权升级和其他技术,”根据分析。
“众所周知,像 Docker 这样以开发人员为中心的工具被广泛滥用。 通过创建访问和凭证使用策略以及生成其环境的威胁模型来对 [开发人员] 进行全面教育非常重要,”Surana 提倡道。
组织还应确保始终正确配置容器和 API,以确保最大限度地减少漏洞利用。 这包括确保它们只能由内部网络或受信任的来源访问。 此外,他们应该遵循 Docker 的加强安全性指南。 “随着针对用户凭据的恶意开源包数量不断增加,”Surana 说,“用户应该避免将凭据存储在文件中。 相反,建议他们选择凭证存储和助手等工具。”
