CẬP NHẬT

Mười bảy container Docker độc hại đã kiếm được tội phạm bí mật 90.000 đô la trong 30 ngày trong những gì có thể là một dấu hiệu của những thứ sắp tới.

Con số này có vẻ tẻ nhạt so với một số tiền lương lớn hơn mà những người kiếm tiền đã kiếm được. Tuy nhiên, các nhà nghiên cứu tại Trung tâm an ninh Kromtech cảnh báo các thùng chứa đang định hình là mục tiêu chín muồi tiếp theo cho những loại tội phạm này.

Kromtech cho biết các hình ảnh Docker độc hại (17 trong tổng số) đã được kéo xuống từ kho lưu trữ hình ảnh Docker Hub. Các nhà nghiên cứu không thể nói chắc chắn bao nhiêu lần các container giả mạo đã được sử dụng bởi người dùng Docker Hub, nhưng Kromtech ước tính rằng 17 hình ảnh đã được tải xuống 5 triệu lần trong năm họ có sẵn.

Tất cả 17 đã được gỡ bỏ từ Docker Hub vào ngày 10 tháng 5 bởi Docker, sau khi Fortinet tìm thấy các thùng chứa và xuất bản một báo cáo về những hình ảnh đang được sử dụng để khai thác tiền điện tử. Fortinet đã có thể kết nối các thùng chứa bị xâm nhập trở lại một diễn viên mối đe dọa, nhờ vào một chiếc ví Monero được chia sẻ.

"Bằng cách đẩy hình ảnh độc hại vào một Docker Hub registry và kéo nó từ hệ thống của nạn nhân, tin tặc đã có thể khai thác 544,74 Monero, tương đương 90.000 đô la," Kromtech viết trong một bài đăng trên blog hôm thứ Ba xây dựng những phát hiện trước đây cả từ Fortinet và Aqua Security mà trong tháng hai chi tiết nhiều cách mà các thùng chứa có thể bị lạm dụng.

Báo cáo của Kromtech đã đào sâu hơn vào các thùng chứa độc hại được tìm thấy bởi Fortinet và mối quan hệ đe dọa Docker lớn hơn. Trong số 17 container độc hại, Kromtech cho biết có 9 phần mềm đã được cài đặt sẵn. Những người khác đã được cố ý để định cấu hình sai và có sẵn trên Docker Hub, cho phép đối thủ truy cập vào các phiên bản vào một ngày sau đó. Mỗi hình ảnh được quảng cáo là công cụ cho các sản phẩm phần mềm phổ biến khác nhau như Apache Tomcat, MySql và Cron.

"Ngày nay, số lượng các nền tảng dàn nhạc được định cấu hình sai có thể truy cập công khai ngày càng tăng như Kubernetes cho phép tin tặc tạo ra một công cụ hoàn toàn tự động buộc các nền tảng này khai thác Monero", các nhà nghiên cứu Kromtech viết. Kubernetes là một hệ thống dàn nhạc container với các công cụ tự động hóa việc triển khai, cập nhật và giám sát container.

Sử dụng kho lưu trữ công cộng để ẩn nội dung độc hại trong cảnh đồng bằng không có gì mới. Kho lưu trữ mã của bên thứ ba chẳng hạn như GitHub, Bitbucket và NuGet Gallery là những công cụ cần thiết giúp nhà phát triển tìm thấy mã sẵn có bổ sung chức năng cho dự án phần mềm của họ mà không cần phải tái tạo lại bánh xe. Tương tự, Docker Hub cung cấp cho các nhà phát triển các chức năng tiết kiệm thời gian. Cả hai đều có thể được nhắm mục tiêu bởi các nhà phát triển giả mạo.

"So sánh Docker Hub với GitHub không phải là một kết hợp chính xác," Kromtech giải thích. “Tin tặc có thể ẩn các hướng dẫn độc hại trong Dockerfile (nơi các lệnh Docker được lưu trữ) từ người dùng.”

Trong một email trả lời một yêu cầu Threatpost cho bình luận, David Lawrence, người đứng đầu an ninh tại Docker, đã viết:

“Như với các kho lưu trữ công cộng như GitHub, Docker Hub có sẵn cho dịch vụ của cộng đồng. Khi giao dịch với các kho lưu trữ công cộng mở và mã nguồn mở, chúng tôi khuyên bạn nên thực hiện theo một số phương pháp hay nhất bao gồm: biết tác giả nội dung, quét hình ảnh trước khi chạy và sử dụng hình ảnh chính thức được sắp xếp trong Docker Hub và nội dung được chứng nhận trong Cửa hàng Docker bất cứ khi nào có thể. ”

Kromtech cho biết sự gia tăng sự chú ý của tin tặc đối với các nền tảng dàn nhạc có thể truy cập công khai như Kubernetes bắt đầu vào đầu năm 2018, khi những kẻ tấn công di chuyển từ Amazon Elastic Compute Cloud khai thác đến các khai thác cụ thể của container. Một số cuộc tấn công đã lợi dụng hàng trăm bảng điều khiển quản lý Kubernetes bị định cấu hình sai, các nhà nghiên cứu cho biết. Một cuộc tấn công cao cấp nhắm vào nhà sản xuất ô tô Tesla:

“Các tin tặc đã xâm nhập vào bảng điều khiển Kubernetes của Tesla, không được bảo vệ bằng mật khẩu. Trong một khoang Kubernetes, các thông tin truy cập được tiếp xúc với môi trường AWS của Tesla, chứa một thùng S3 của Amazon S3 (Amazon Simple Storage Service) có dữ liệu nhạy cảm như đo từ xa. Ngoài việc tiếp xúc dữ liệu, tin tặc đã thực hiện khai thác mật mã từ bên trong một trong những khoang Kubernetes của Tesla, ”Kromtech nói.

Đối với phần của Docker, nó cung cấp các công cụ cho các khách hàng doanh nghiệp của mình để giảm thiểu các thùng chứa thô. Docker trước đây đã cung cấp tính năng quét bảo mật cho người dùng Docker Hub, nhưng đã cung cấp dịch vụ miễn phí vào tháng 3. Ngoài ra còn có nhiều công cụ quét và bảo mật Docker miễn phí để bạn lựa chọn.

“Quá trình kéo hình ảnh Docker phải minh bạch và dễ theo dõi. Đầu tiên, bạn có thể thử xem qua Dockerfile để tìm hiểu xem ký hiệu FROM và ENTRYPOINT là gì và vùng chứa nào. Thứ hai, hình ảnh Docker được xây dựng bằng cách sử dụng xây dựng tự động Docker. Đó là bởi vì, với việc xây dựng tự động Docker, bạn có thể truy xuất nguồn gốc giữa nguồn Dockerfile, phiên bản của hình ảnh và đầu ra xây dựng thực tế, ”các nhà nghiên cứu của Kromtech cho biết

Đối với các dự án container khác, họ cho biết các nhà phát triển cần tập trung vào khả năng truy xuất vùng chứa tương tự trong một nỗ lực để bảo vệ các trường hợp đám mây của họ.

(Bài viết này đã được cập nhật lúc 11:30 tối ET ngày 6/13 với một phản hồi từ Docker)

nguồn
(https://threatpost.com/malicious-docker-containers-earn-crypto-miners-90000/132816/)

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây