犯罪分子利用易受攻击 Docker 镜像的速度有多快?

Posted 代码卫士

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了犯罪分子利用易受攻击 Docker 镜像的速度有多快?相关的知识,希望对你有一定的参考价值。

  聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
安全公司 Akamai 的一名研究员 Larry Cashdollar 最近发布一篇博客文章,说明了易受攻击的 Docker 镜像遭攻击的速度。奇安信代码卫士团队编译如下:
最近,我一直都在和很多不同的蜜罐实现打交道,从 cowrieWordPot Dionaea WAPot 等等不一而足。为在此基础上进行扩展,我决定使用运行可被猜测的 root 密码的 SSH 设置一个简单的 docker 镜像。这样做的目的是捕获所有用于登录 docker 镜像的凭证以及访问日志文件和屏幕的整个 shell 会话。攻击者不会轻易知道我正在做的东西,因为我使用的是一个 docker 镜像而非轻易可识别的蜜罐。
我让 docker 镜像蜜罐运行了24小时,并对这段时间的攻击进行记录和追踪。马上,我就注意到了一个趋势。使用某类密码组合的攻击者将使用该 docker 镜像从事各种犯罪活动。 root:adminroot:rootoracle:oracle 的登录组合将不可避免地将 docker 镜像用作经由 SSHd SOCKSS 代理。被代理的内容是 Twitch 流、google.comnetlix.com 等。从一名同事处获悉,Twitch 流很可能正被用于填充玩家的流观看者人数。
这些登录大部分是自动完成,而且并未在 SSH 中分配 PTY(伪终端)。这样输入命令的目的可能是避免在 WHO utmp/wtmp 等文件中出现。
例如:
$ ssh -l root192.168.1.20 "uptime" 14:47:34 up 5 days, 19:27, 0 users, load average:0.00, 0.00, 0.00

从日志上来看,该 docker 镜像也被用于安装僵尸网络。首个僵尸网络感染被证实是 Xorbot 网络的一个实例。这次安装的首个任务是通过 cron 条目建立持久性,并将其副本至于 .usr/bin 中并将启动脚本置于 /etc/init.d 中。命令和控制通信被在解析到端口 3309 192.200.192.227 域名。由于禁止从实验室到控制端口所在范围出现出站连接,因此我无法分析任何攻击流量。


物联网僵尸网络
犯罪分子利用易受攻击 Docker 镜像的速度有多快?

如预想的那样,该 docker 镜像也遭一个 Mirai 物联网僵尸网络变体的感染。Mirai 使用 TPLink GPON 路由器、Thinkphp等常见用户名和密码组合以及其它 exploit 感染目标系统。2016年,当 Mirai 的源代码被泄露到互联网上时,就被犯罪分子用于衍生数十个变体,而现在它还在继续传播。


密币挖掘恶意软件
犯罪分子利用易受攻击 Docker 镜像的速度有多快?


如在这个项目首次启动时预想的那样,该 docker 镜像是密币挖掘恶意软件的一个主要目标。通过 SSH 运行安装脚本,该脚本使用进程监控工具 “top” 来监控进程树,检查该恶意软件是何时成功执行的。一旦检测到该进程(在本例中为 dhcpcd),该恶意软件就会向系统添加两个新用户 test test1。它将密码更改为 “”(空白),并在 cron 中创建条目,在重启后启动挖掘软件。它还尝试设置各种文件(包括 /etc/shadow /sbin/dhcpcd 中的恶意软件二进制文件)的不可变位 (+i)
sha256sum:4e481f41263b649df1e5ae03e001c58ed31457f3d15d90a89ba4803c72d41ff3 dhpcd

挖矿软件试图连接到如下密码挖掘池:
  • http://ca.minexmr.com:4444

  • http://ca.minexmr.com:80

  • http://de.minexmr.com:4444

  • http://de.minexmr.com:80

  • http://fr.minexmr.com:4444

  • http://fr.minexmr.com:80

  • http://pool.minexmr.com:4444

  • http://pool.minexmr.com:80

  • http://pool.minexmr.uk:4444

  • http://pool.minexmr.uk:80

  • http://sg.minexmr.com:4444

  • http://sg.minexmr.com:80


该恶意软件还为/root/.ssh/authorized_keys 增加了一个 .ssh 密钥:
ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQCuhPmv3xdhU7JbMoc/ecBTDxiGqFNKbe564p4aNT6JbYWjNwZ5z6E4iQQDQ0bEp7uBtB0aut0apqDF/SL7pN5ybh2X44aCwDaSEB6bJuJi0yMkZwIvenmtCA1LMAr2XifvGS/Ulac7Qh5vFzfw562cWC+IOI+LyQZAcPgr+CXphJhm8QQ+O454ItXurQX6oPlA2rNfF36fnxYss1ZvUYC80wWTi9k2+/XR3IoQXZHKCFsJiwyKO2CY+jShBbDBbtdOX3/ksHNVNStA/jPE0HYD7u6V2Efjv9K+AEbklMsytD9T60Iu3ua+ugBrP5hL7zAjPHpXH8qW4Ku7dySZ4yvH

该挖矿软件被报告为 XMRig v5.2.0
 

SOCKS 代理邮件中继

犯罪分子利用易受攻击 Docker 镜像的速度有多快?


docker 镜像的另外一种异常使用是邮件中继。犯罪分子将该服务器用作邮件中继并非事实,因为我从一开始就假设垃圾邮件是一种可能性。邮件中继的本质就是不可预测元素。有人已将其用到远程工作欺诈活动中。
在连接开始之时,就出现了关于该邮件中继的警示。威胁行动者有意使用 root/root 登录 Dovecot 邮件服务器,而如果他们正在发送的信息是合法的,则他们无需这样做。但是,在阅读了这些信息并重构邮件附件后,它们的通信性质变得清晰了。
两个人和第三个人通信,但第三个人并未回应。起初,这些通信是购买报告。从该 docker 镜像上的邮件日志来看,有人正在多个大型零售商处购买高价商品,并将这些购买账目和扫描收据发送给采购机构。然而,其中最后发送出的信息中提到因正被使用的银行卡“与付款有关”而出现购买问题。
关于远程工作的骗局很常见,而且从日志上来看,很明显受害者是使用自己的信用卡或由犯罪分子提供的公司卡(比如被盗卡)提交的费用报告,目的是为了获得对高价零售产品(如电话、笔记本电脑和个人平板电脑)的访问权限。
在很多情况下,买家(受害者1)把所购买的物品运给一名跨境运毒者(受害者2),向代理商提交费用支出报告(刑事诈骗),并等待进一步的指示。购买物品所花的钱要么源自被盗的信用卡,要么是由受害者维护的个人卡。承诺的报销将永远无法兑现,当调查人员开始逆向思维调查此事时,受害者正在面临欺诈。通过欺诈花600美元购买的物品随后将在二级犯罪市场上以400美元的价格出售,也就是说犯罪分子获得净利润400美元。

结论

犯罪分子利用易受攻击 Docker 镜像的速度有多快?


未受到正确保护的资源易受动机不同的竞争对手的攻击。在这个案例中,启用 SSHd 的简单系统在24小时内被用到四种不同的犯罪活动中。当把系统连接到网络时,用户必须遵循基本的安全实践,确保系统不会被黑或者被用于攻击其它互联网主机。

 

 



推荐阅读




原文链接
https://blogs.akamai.com/sitr/2020/04/a-brief-history-of-a-rootable-docker-image.html

题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。



犯罪分子利用易受攻击 Docker 镜像的速度有多快?

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的


    点个 “在看” ,为我加油鸭~



以上是关于犯罪分子利用易受攻击 Docker 镜像的速度有多快?的主要内容,如果未能解决你的问题,请参考以下文章

安全威胁形势演变的六种方式

犯罪分子劫持路由器 DNS 设置将用户重定向至安卓恶意软件

.NET 6 的 docker 镜像可以有多小

docker镜像容器管理

如何创建一个安全的Docker基镜像

易受 SQL 注入攻击