首页 > 安全 > 正文

脆弱的Docker安装是恶意软件攻击的剧场

最后更新 :2022.05.06

UPTYCS研究人员通过我们的Docker Honeypot瞄准了裸露的Docker API。

UPTYCS威胁研究团队通过我们的Docker Honeypot瞄准了裸露的Docker API Port 2375。加密矿工和易受攻击的服务器上的反向壳,使用CMDline中的基本64编码命令,为逃避防御机制而构建。恶意组件通过在弱势服务器上部署合法的Docker图像(暴露于Docker API的服务器)。ThE威胁参与者试图使用Chroot命令运行  Alpine  Docker Image,以在脆弱的服务器主机上获得全部特权(一种常见的错误配置)。攻击者将卷曲实用程序作为参数传递给了高山图像,该图像下载并运行了恶意的外壳脚本(哈希:  fa98Add222756cc2041f1dc372c709a409a4039cd0d6cd0d6ae0004545454f728ee928e e95165be bebe in vile 1 sever in vile 1 sever in the vile 1 exe night pose。图1:honeypot log命令通过攻击者在脆弱的服务器上运行

cronb.sh(矿工脚本)

Cronb.sh(hash:fa98Add222756cc2041dc372c372c372c709a40dd6cd6eae)服务器上的以下活动:

试图禁用受害者系统中Aliyun之类的安全监视代理。下载XMRIG COINMINER到系统。]     3。杀人已经运行了与矿工有关的专业人士Cesses(如果有)。 

     4。解码一个base64编码的焦油文件,其中包含diamorphine rootkit。 

图3:base64编码的tar file      5。提取后,将rootkit部署到受害者系统中。

图4:rootkit安装

    6. cronb.sh最后下载并在系统中运行另一个名为cronis.sh的外壳脚本。


图5:cronb.sh下载cronis.sh

Cronis.SH

第二阶段外壳脚本Cronis.sh(Hash:CBB37344FDF2429306D4F608237DEF14465F5667080F67080F670F6EE43C732D8D8D42D42FA7E5B)开始与常见的U夫进行辩护。然后,该脚本下载了诸如Masscan和PNScan之类的五边形工具,以扫描受害者子网中的系统上的开放端口。如果Docker服务是脚本不活动,执行命令以使用暴露的Docker API(端口2375)启动Docker服务。 

最后,Shell脚本下载并运行另一个名为Cronscan的Shell脚本。

&NBSPP 

大规模扫描以查找更多脆弱的服务器

rss.sh

Cronscan下载的外壳脚本执行大规模扫描以查找更多脆弱的服务器。这些外壳脚本之一是RSS.SH(Hash:2B229093689856CF1E606FCFBCB8716E53DC96FFFFED2FB5F6E5247D0888888843F4C)。RSS.SH内部的命令开始扫描对受害者子网打开的端口6379的系统。该端口如果打开和未经身份验证,则会给出通过redis-cli实用程序进行远程连接。.DAT文件包含我们上面讨论的Cronb.sh的内容。

图6:命令通过redis-cli实用程序运行cronb.sh的命令

案例2 COINMINER我们在蜜罐中发现的第二种加密矿工攻击的攻击

涉及沉重的混淆(见图7和8)。

图7:Honeypot Log Crypto矿工攻击

图8:aaa.sh的内容 

正如我们在上图中所看到的,攻击者使用了沉重的混淆来逃避静态防御。在执行上述外壳脚本(Hash:05A65E666492DD8EC5EB0985E5395967BC7BC7BC7BC7BC7BC7BC7AACA11CDB93518730933382),XMRIG MINER从Github和Mining下载了XMRIG MINER,从GETHUB和MINNING开始下载(请参见8)。ED

情况3基于反壳的攻击

我们观察到的第三种攻击是基于反向壳的攻击,攻击者试图在脆弱的服务器上运行反向外壳。下图显示了攻击者远程完成的活动的全部细节(见图9)。

图10:攻击者完成的远程活动的详细信息

我们可以在上图中看到,攻击者通过cmdline 

试图通过完全特权运行高山docker映像。使用的base64编码命令以逃避防御机制.gave可执行的许可,可执行使用反向外壳二进制Chmod实用程序。 试图在cron中注册反向外壳二进制文件。

我们观察到,该活动中使用的反向外壳二进制二进制试图连接到IP地址'185 [.232.169.211'和端口'3242'(见图8)。

图11:反向外壳二进制连接到C2

病例4亲属恶意软件攻击

最后也是最常见的攻击是亲属,这是基于 *NIX基于 *NIX的恶意软件攻击中的流行恶意软件家族。亲属攻击链包括“各种防御性逃避”的机制和命令,以及一个掩盖恶意活动的rootkit。亲属的主要目的是在脆弱的服务器上开采加密货币。在我们的Docker Honeypot中,我们观察到了对弱势服务器的亲属相关攻击。与受害者系统上已经运行的矿工进程(如果存在的话)杀死已经运行的矿工进程(如果存在)。

图13:docker命令杀死已经运行 矿工

图14:亲属通过Shell脚本

在我们的Previou中已经涵盖了亲属的分析和操作S博客。

关于作者:UPTYCS威胁研究


结论

Docker容器已成为应用程序开发的基本方面。如果没有适当的保护措施,这些服务器将变得脆弱,并且是攻击者发动和主机攻击的操场。我们内部的Docker Honeypot不断监视Docker与Docker相关的威胁,并为团队提供智能以保护我们的客户。Uptycs的EDR功能使安全团队能够检测和调查其Docker Infrstructure中的攻击。

,包括进一步的详细信息,包括进一步的详细信息,包括进一步的详细信息。妥协指标(IOC)可在Uptycs发表的原始帖子中获得。

https://www.uptycs.com/blog/blog/vulnerable/vulnerable-docker-docker-installations-are-are-are-are-a are-a are-a-playhouse-for-malware-Attacks?hs_preview \u003d roycvwho-72459548548

请投票赞成安全事务,作为最佳欧洲网络安全博客作者奖励2022年奖励您的赢家

V V
V

V

V在我的部分中,OTE对我的弱者最佳个人(非商业)安全博客和Tech Whiz最佳技术博客以及您选择的其他人。

提名,请访问:

https://docs.google。com/forms/d/e/1faipqlsfxxrximz9qm9iipumqic-iom-npqmosfznjxrbqryjgcrow/viewform

- END -

    数据加载中,请稍后...
看更多