Через ханипоты-ы выявлены два набора учетных данных, которые злоумышленники используют для размещения и распространения вредоносных образов контейнеров, сообщает производитель систем безопасности.
Из-за очевидного промаха в обеспечении оперативной безопасности, допущенный членом хакерской группировки TeamTNT, были раскрыты некоторые тактические приемы, используемые для атаки на плохо настроенные серверы Docker.
Исследователи безопасности из Trend Micro недавно создали ловушку с открытым REST API Docker, чтобы попытаться понять, как атакующие в целом используют уязвимости и неправильную конфигурацию широко используемой облачной контейнерной платформы. Они обнаружили, что TeamTNT - группа, известная своими атаками на облака - предприняла по меньшей мере три попытки использовать Docker-ханипот.
«На одном из наших стендов мы намеренно выставили сервер с демоном Docker, открытым через REST API» - сообщает Нитеш Сурана, инженер по исследованию угроз компании Trend Micro. «Злоумышленники обнаружили неправильную конфигурацию и трижды использовали ее с IP-адресов, расположенных в Германии, где они входили в реестр DockerHub. Судя по нашим наблюдениям, мотивация злоумышленников заключалась в том, чтобы через Docker REST API скомпрометировать базовый сервер для майнинга».
Анализ активности, проведенный экспертами по безопасности, в конечном итоге привел к обнаружению учетных данных как минимум двух учетных записей DockerHub, которые TeamTNT контролировала (группа злоупотребляла бесплатными сервисами реестра контейнеров DockerHub) и использовала для распространения различных вредоносных полезных нагрузок, включая майнеры криптовалют.
На одном из аккаунтов (с именем «alpineos») был размещен вредоносный образ контейнера, содержащий руткиты, наборы для выхода из контейнера Docker, майнер XMRig Monero, средства кражи учетных данных и наборы эксплойтов для Kubernetes.
Компания Trend Micro обнаружила, что вредоносный образ был загружен более 150 000 раз, что может привести к крупному числу заражений.
Другая учетная запись (sandeep078) размещала аналогичный образ вредоносного контейнера, но по сравнению с первой имела гораздо меньше «обращений» - всего около 200. Trend Micro указала на три сценария, которые, вероятно, привели к утечке учетных данных учетной записи реестра TeamTNT Docker. Среди них - неспособность выйти из учетной записи DockerHub или самозаражение их машин.
Вредоносные образы облачных контейнеров: Полезная функция.
Разработчики часто используют демон Docker через REST API, чтобы иметь возможность создавать контейнеры и выполнять команды Docker на удаленных серверах. Однако, если удаленные серверы не настроены должным образом - например, они находятся в открытом доступе, - злоумышленники могут использовать их в своих целях, сообщает Сурана.
В таких случаях хакеры могут запустить контейнер на взломанном сервере из образов, исполняющих вредоносные скрипты. Как правило, эти вредоносные образы размещаются в реестрах контейнеров, таких как DockerHub, Amazon Elastic Container Registry (ECR) и Alibaba Container Registry. Злоумышленники могут использовать для размещения вредоносных образов либо взломанные учетные записи в этих реестрах, либо создавать свои собственные. Также вредоносные образы могут размещаться в собственном частном реестре контейнеров.
Контейнеры, созданные на основе вредоносного образа, могут быть использованы для различных вредоносных действий, отмечает Сурана. «Если на сервере, работающем под управлением Docker, есть публичный демон Docker, открытый через REST API, злоумышленник может создать на сервере контейнеры на основе образов, контролируемых злоумышленником».
Множество вариантов полезной нагрузки атакующих.
Вредоносные образы могут содержать криптомайнеры, наборы эксплойтов, инструменты для выхода из контейнеров, сети и утилиты для разведки. «Злоумышленники могут осуществлять криптоджекинг, отказ в обслуживании, латеральное перемещение, повышение привилегий и другие действия в среде с использованием этих контейнеров» - сообщается в анализе.
«Известно, что инструменты, ориентированные на разработчиков, такие как Docker, широко используются для злоупотреблений. Важно обучать разработчиков вопросам безопасности, создавая политики доступа и использования учетных данных, а также генерировать модели угроз для их сред» - советует Сурана.
Организациям также следует следить за тем, чтобы контейнеры и API всегда были правильно сконфигурированы для минимизации риска наличия уязвимостей. Это включает в себя обеспечение доступа к ним только через внутреннюю сеть или через доверенные источники. Кроме того, они должны следовать рекомендациям Docker по укреплению безопасности. «В связи с ростом числа вредоносных пакетов с открытым исходным кодом, нацеленных на учетные данные пользователей» - заявляет Сурана, - «пользователям следует избегать хранения учетных данных в файлах. Вместо этого им рекомендуется выбирать такие инструменты, как хранилища учетных данных и менеджеры паролей».
Источник: https://www.darkreading.com