Новости Cконфигурированные серверы Docker подвергаются атаке с использованием вредоносного ПО Xanthe

Тема в разделе "Новости", создана пользователем Mr. Pickles, 12 дек 2020.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    891
    Симпатии:
    242
    1.JPG

    Ранее неизвестный ботнет Xanthe, предназначенный для майнинга криптовалюты, атаковал неправильно сконфигурированные API Docker.
    Исследователями был обнаружен ботнет для майнинга криптовалюты Monero, который они назвали Xanthe и который использует неправильно сконфигурированные API Docker для заражения систем Linux.

    Xanthe был впервые обнаружен при исследовании многомодульного ботнета, который использовался в сочетании полезной нагрузки, являвшейся вариантом майнера XMRig для криптовалюты Monero. Исследователи заявили, что вредоносное программное обеспечение (ПО) использует различные методы для распространения по сети, включая сбор сертификатов на стороне клиента для распространения среди известных хостов через Secure Shell (SSH).

    «Мы уверены, что это первый случай, когда кто-то задокументировал операции Xanthe, — заявили исследователи из Cisco Talos во вторник. — Злоумышленник активно поддерживает все модули и действовал начиная с марта этого года».

    Ранее неизвестный ботнет Xanthe, предназначенный для майнинга криптовалюты, атаковал неправильно сконфигурированные API Docker.

    Использовались четыре дополнительных модуля: модуль, скрывающий процесс (libprocesshider.so), скрипт оболочки для отключения других майнеров и служб безопасности (xesa.txt), скрипт оболочки для удаления контейнеров Docker с конкурирующими троянскими программами, нацеленными на Docker (fczyo), и двоичный файл XMRig (а также файл конфигурации JSON config.json).

    После загрузки основной модуль также принимал на себя ответственность за распространение на другие системы в локальных и удалённых сетях. Он пытался распространиться на другие известные хосты путем кражи сертификатов со стороны клиента и подключения к ним без ввода пароля.

    Xanthe содержит функцию распространения localgo, которая запускается при получении видимого IP-адреса заражённого хоста (путём подключения к icanhazip.com). Затем скрипт использует утилиту find для поиска клиентских сертификатов, которые будут использоваться для аутентификации на удалённых узлах.

    «После того как все возможные ключи будут найдены, скрипт перейдёт к поиску известных хостов, портов TCP и имён пользователей, используемых для подключения к этим хостам, — пояснили исследователи. — Наконец запускается цикл, в ходе которого в попытке подключиться, аутентифицироваться на удалённом хосте и запустить команды загрузки и выполнения основного модуля на удалённой системе снова и снова перебираются комбинации всех известных имён пользователей, хостов, ключей и портов».

    Неправильно сконфигурированные серверы Docker — ещё один способ распространения Xanthe. Со слов исследователей, серверы Docker очень легко конфигурировать неправильно, а демон Docker во внешних сетях доступен при минимальном уровне безопасности.

    При проведении ряда прошлых атак использовались именно такие неправильно сконфигурированные серверы Docker. Так, например, в сентябре банда киберпреступников TeamTNT атаковала облачные серверы Docker и Kubernetes, воспользовавшись вполне законным инструментом облачного мониторинга под названием Weave Scope. В апреле был зафиксирован факт организованной атаки с использованием «самораспространяющегося» ПО для майнинга криптовалют, целью которой стали неправильно сконфигурированные открытые порты API Docker Daemon, а в октябре 2019 года было обнаружено, что более 2000 незащищенных хостов Docker Engine (Community Edition) были заражены червём для криптоджекинга, получившим название Graboid.

    На момент написания этой статьи, по данным Shodan, в интернете имелось более 6000 неправильно сконфигурированных серверов Docker. Как видно на примере Xanthe, злоумышленники активно ищут способы использования таких открытых серверов.

    «Несмотря на то, что Docker остаётся важным инструментом для разработки и развёртывания приложений, не стоит забывать, что его кривая обучения очень крута, — говорят исследователи. — Безопасность серверов не обеспечивается по умолчанию, и довольно просто оставить API открытыми для доступа со стороны злоумышленников, находящихся в поиске «бесплатных» ресурсов, которые можно было бы использовать для запуска специализированных контейнеров и проведения атак».

    ---

    Источник: Misconfigured Docker Servers Under Attack by Xanthe Malware

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.