歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

受感染的容器攻擊暴露API的Docker主機,并使用Shodan來發現更多受害者

來源:本站整理 作者:佚名 時間:2019-06-06 TAG: 我要投稿

為了監控針對容器的惡意活動,研究人員搭建了一個模擬暴露API的Docker主機作為蜜罐系統,而暴露的API是基于容器的威脅的最常見目標。研究人員的目標是監控蜜罐系統以檢測是否有攻擊者發現該系統并用它來應用不想要的容器,然后可以追蹤溯源。研究人員通過檢查蜜罐系統的狀態發現容器的單獨鏡像已經在環境中應用了。
通過分析進出蜜罐的日志和流量數據,研究人員發現容器來自于一個名為zoolu2的Docker Hub庫。檢查和下載庫中的內容,研究人員發現其中含有9個包含定制shell、python腳本、配置文件、Shodan和加密貨幣挖礦軟件二進制文件的9個鏡像文件。
zoolu2庫的所有的鏡像文件都含有Monero (XMR)加密貨幣挖礦機的二進制文件。研究人員之前也見過將容器用作挖礦機的情況,除此之外,一些鏡像中還還有Shodan腳本,可以列出暴露了API的Docker主機,研究人員認為這是用來識別適合的目標。

圖1. zoolu2 Docker Hub repository
攻擊路徑

圖2. 感染鏈
研究人員決定分析這9個鏡像來詳細了解。分析發現這些鏡像首先用一個腳本ubu.sh來檢查暴露了API的主機。然后使用Docker命令(POST /containers/create)來遠程創建惡意容器。腳本還會在容器內開啟SSH daemon來進行遠程認證。
然后腳本會調用Monero加密貨幣挖礦二進制文件在后臺運行。和其他所有的加密貨幣挖礦機一樣,它使用主機系統的資源在用戶毫不知情的情況下進行挖礦。

圖3. Docker鏡像記錄調用加密貨幣挖礦二進制文件(darwin),然后調用腳本找出其他錯誤配置的Docker主機(rip)

圖4. 加密貨幣挖礦二進制文件詳情
二進制文件也還有一個shell腳本使用Shodan API來搜索其他暴露了API的Docker主機,使用port:2375+product:Docker作為主查詢。研究人員懷疑這是一種編譯新主機來感染的方法。

圖5.用來登陸Shodan和搜索開放默認端口的Docker主機的函數

圖6. 暴力破解通過Shodan搜索得到的開端端口的用戶名和密碼
一旦定位到暴露的Docker主機,就添加到到一個列表中(iplist.txt),然后進行特殊IP的排序。也會檢查目標主機是否含有正在運行的容器,如果發現就刪除。
然后用C2服務器來應用其他容器到暴露的主機中。

圖7. 將鏡像遠程應用于容器的函數

 


圖 8, 9, 10. 備份了腳本和之前搜索記錄的C2
zoolu2鏡像的元數據表明組件是在2019年5月加入的,因為鏡像并不是持續更新的,所以時間可能并不準確,但鏡像背后的攻擊者仍在不斷地加入新的攻擊方法和能力。

圖11. Deep Discovery™ Smart Check告警消息
總結和建議
容器的不斷應用使其稱為攻擊者的目標。由于容器軟件漏洞的成功利用和錯誤配置,這些攻擊一般都是成功的,也使其稱為企業的持續威脅。暴露API的主機不僅僅是加密貨幣挖礦活動的受害者,也可能被用于受感染容器的分發活動。
加密貨幣挖礦活動還會導致目標的其他資源負載。在本案例中,如果Docker主機運行在內部基礎設施上,其他主機就可能成為受害者;如果Docker主機使用云服務,因為資源使用用率變高,因此企業可能會面臨更多的費用。
為了預防影響開發環境的容器和主機的成功攻擊,研究人員建議:
· 對容器和API進行合理配置以確保可利用的攻擊最小。其中包括確保只有內部網絡或可信源才可以訪問。除此之外,Docker還對用戶如何加強安全有專門的指南。
· Docker推薦使用官方或認證的鏡像來確保環境中運行的只有可信的內容。
· 運行的容器并不應該以root權限運行,而應該以應用用戶權限使用。
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视