Crv za prekopavanje kriptovaluta inficira izložene Docker implementacije

Graboid je prvi poznat primer kriptominirajućeg crva koji se koristi za stvaranje botneta koji se širi pomoću kontejnera. Napadači koriste implementacije Docker Engine koje su izložene Internetu bez autentifikacije i tako implementiraju i pokreću zlonamerni softver za prekopavanje kriptovaluta na serverima. Novi botnet za kriptovalute sa mogućnostima samopoširivanja do sada je zarazio preko 2.000 takvih primena Dockera.
„Bilo je slučajeva širenja zlonamernog softvera koji se širi kao crv, ali ovo je prvi put da vidimo kako se kriptoaktivni crv širi koristeći kontejnere u Docker Engine-u (Community Edition)“, izjavili su danas (https://unit42.paloaltonetworks.com/graboid-first-ever-cryptojacking-worm-found-in-images-on-docker-hub/) istraživači iz Palo Alto Networks-a. „S obzirom da većina tradicionalnog softvera za zaštitu krajnjih tačaka ne vrši pregled podataka i aktivnosti unutar kontejnera, ova vrsta zlonamernih aktivnosti može biti teška za otkrivanje.“

Botnet sa neobičnim ponašanjem
Novi crv nazvan je Graboid i distribuiran je iz Docker Hub-a, javnog skladišta slika Docker kontejnera. Napadači su u Docker Hub otpremili slike sa zlonamernim skriptovima koji, prilikom izvršavanja, razmeštaju zlonamerni softver na druge nebezbedne servere. Istraživači su pronašli nekoliko slika kontejnera povezanih sa napadom za različite faze lanca infekcije. One su uklonjene nakon što su održavači Docker Hub-a obavešteni o zloupotrebi.

Jedna slika se zasnivala na CentOS-u i namena joj je bila da se poveže na unapred definisane C2 (command-and-control) servere da bi učitala i izvršila četiri skripta ljuske. Sadržavala je i jedan Docker-ov klijent za slanje naredbi izloženim Docker demonima. Jedan od skriptova koje su dostavljali C2 serveri prikupljao je detalje o napadnutom okruženju, kao što je broj dostupnih procesora, i slao te informacije napadačima. Drugi skript je preuzimao listu od preko 2.000 IP adresa koje odgovaraju nesigurnim krajnjim tačkama Docker API-ja, nasumično birao jednu od njih i koristio Docker klijent da bi se povezao s njom i instalirao istu zlonamernu sliku kontejnera iz Docker Hub-a, postižući tako samoproširivanje.

Treći skript se nasumično povezivao sa jednim od ranjivih Docker domaćina sa liste i instalirao drugu sliku iz Docker Hub-a koja je sadržavala Xmrig binarni izvršni fajl maskiran u ngink veb server или MySQL server baze podataka. Xmrig je aplikacija otvorenog koda koja koristi procesore za prekopavanje kripto valuta. U slučaju Graboida, konfigurisan je za prekopavanje Monero-a.

Konačno, četvrti skript pokretao se na tajmeru i isto tako se nasumično povezivao sa jednom od IP adresa na listi i zaustavljao Xmrig prekopavajuće kontejnere, uključujući one koje je sam botnet instalirao. To znači da aktivnost prekopavanja na svakom serveru nije bila neprekidna, a botnet je neprestano ponovno inficirao domaćine i pokretao i zaustavljao prekopavajuće kontejnere.

„U suštini, prekopavanje na svakom zaraženom domaćinu nasumično kontrolišu svi drugi zaraženi domaćini,“ kažu istraživači. „Motivacija za ovaj nasumični dizajn je nejasna. To može biti loš dizajn, tehnika sakrivanja (ne baš efikasna), samoodržavajući sistem или neka druga svrha. „
Na osnovu svoje analize, istraživači procenjuju da se aktivnost prekopavanja na svakom zaraženom domaćinu dešavala u intervalima od 250 sekundi i da je svako prekopavanje bilo aktivno samo 65% vremena, što nije baš efikasno.

Pored toga, zlonamerna slika koja se koristi za širenje crva preuzeta je preko 10.000 puta, a ona sa Xmrig izvršnim fajlom više od 6.500 puta. Na osnovu IP adresa u ciljnoj listi crva, skoro 60% ciljanih Docker instalacija bilo je smešteno u Kini, 13% u SAD, a ostalo u drugim zemljama.
Osigurajte svoje Docker implementacije

„Mada ovaj crv za prekopavanje kripto valuta ne uključuje sofisticirane taktike, tehnike или postupke, crv može jednom da izvlači nove skripte iz C2-ova, tako da se lako može preobraziti u ucenjivački softver или bilo koji zlonamerni softver kako bi u potpunosti oštetio domaćine u nizu i ne bi ga trebalo „ignorisati“, kažu istraživači. „Ako se ikada stvori moćniji crv koji bi koristio sličan infiltracioni pristup, to bi moglo da nanese mnogo veću štetu, pa je neophodno da organizacije zaštite svoje Docker domaćine.“

Docker Hub je projekat koji volonteri održavaju u zajednici, pa ga nije lako kontrolisati. Slike kontejnera sa zadnjim vratima prebačene su u skladište u prošlosti i trebalo je nekoliko meseci da budu otkrivene i uklonjene.  Prošle godine, istraživači iz Kromtech-a identifikovali su 17 zlonamernih slika Dockera (https://kromtech.com/blog/security-center/cryptojacking-invades-cloud-how-modern-containerization-trend-is-exploited-by-attackers) koje su stajale na Docker Hub-u oko godinu dana. Neke su sadržavale skripte koji su koristili inverzne školjke, zlonamerne pristupne SSH ključeve i kripto-prekopavače.

Istraživači iz Palo Alta savetuju kompanijama da nikada ne izlažu svoje Docker demone direktno na Internet bez odgovarajuće autentifikacije. U stvari, Docker Engine nije podrazumevano izložen internetu, tako da su nesigurne instalacije koje je ovaj crv koristio bile ručno konfigurisane da budu javno dostupne. Čak i kada Docker nije direktno izložen internetu, to mogu biti orkestracija kontejnera i API sistem upravljanja, što takođe predstavlja ozbiljan rizik. Prošle godine, istraživanje firme za obezbeđivanje oblaka Lacework otkrilo je preko 22.000 javno izloženih kontrolnih tabli za upravljanje kontejnerima, uključujući Kubernetes, Docker Swarm, Swagger, Mesos Marathon i Red Hat OpenShift.

Istraživači iz Palo Alta savetuju kompanijama da koriste SSH sa jakom autentifikacijom ako im je potrebno daljinsko povezivanje sa Docker-ovim demonom. To bi trebalo kombinovati sa pravilima zaštitnog zida koja ograničavaju takve veze samo na pouzdan skup IP adresa. Nadalje, administratori bi trebalo da osiguraju da nikada sa Docker Hub-a ne postavljaju Docker slike kontejnera od nepouzdanih dobavljača i da često proveravaju da li u se u njihovim Docker implementacijama ne nalaze nepoznati kontejneri или slike.

Izvor: CSO

5610-xa-crv-za-prekopavanje-kriptovaluta-inficira-izlozene-docker-implementacije-xa