分類: 漏洞攻擊

趨勢科技最近發現有設定不當導致API端口暴露的Docker遭到惡意利用的案例。有惡意活動會掃描開放端口2375/TCP和2376/TCP，這些是Docker引擎服務（dockerd）所使用的端口。攻擊者接著將虛擬貨幣挖礦病毒（趨勢科技偵測為Coinminer.SH.MALXMR.ATNE）散布到這些設定不當的系統。

Docker會在作業系統層級實現虛擬化 – 也稱為容器化（containerization）。Docker API能夠讓遠端使用者像本地端用戶那樣地控制Docker映像。建議不要開放能夠讓外部存取的API端口，因為這會讓駭客有機會利用此不當設定進行惡意活動。

Docker引擎本身並沒有遭到攻擊，Docker企業版本也沒有受到影響。我們是在Docker社群版本看到這些少見的惡意行為。事實上，Docker技術提供讓使用者可以啟用及設定的安全功能來保護容器和工作負載。Docker也提供了防護Docker社群和企業版本的工具、文件和指南。當然，兩者的安全最佳實作都會要求不要開放這些端口。比方說建議運行商業應用程式的企業使用商業用的Docker企業版，能夠提供精確、基於角色的存取控制設定，必須經過身份認證才能使用API。

在我們的研究中，Docker API端口暴露是使用者設定不當的結果，因為我們發現這不當設定是在管理員層級手動設定的。實際上，因為設定不當而讓自身暴露於威脅中並非新鮮事，而這對企業來說也可能是得長期面對的挑戰。事實上，我們透過Shodan搜尋發現有許多人的Docker主機設定不當，特別是在中國。而同時還有美國、法國、德國、新加坡、荷蘭、英國、日本、印度和愛爾蘭也出現設定不當的Docker主機。大多數暴露的系統都是運行Linux作業系統。有意思的是Linux上的服務需要手動設定，而在Windows上直到17.0.5-win8都不是如此，出於安全理由而禁止服務暴露。雖然不當設定廣泛地在各版本都有發生，但根據Shodan的搜尋結果顯示超過一半有此問題的主機運行的是18.06.1-ce版本，這是相對較新的Docker版本。

 

圖1：在端口2375和2376觀察到的惡意活動或因不當設定遭濫用的時間軸（上）和國家/地區分佈（下）

圖2：攻擊不當設定Docker引擎的感染鏈

繼續閱讀

微軟SettingContent-ms最近成為備受關注的話題。趨勢科技在七月看到一個垃圾郵件活動利用惡意的SettingContent-ms檔案嵌入PDF檔中，目的是為了執行遠端存取的木馬程式FlawedAmmyy, 這個遠端存取木馬(RAT) 也被使用在Necurs殭屍網路上. 而攻擊行動主要鎖定的目標是歐洲和亞洲的銀行。

SettingContent-ms最近才加入微軟軟體中，最早是在Windows 10中引入。以XML格式/語言寫入此類型檔案中，通常這類型檔案會包含Windows功能的設定內容，例如更新流程以及開啟某些特定類型檔案的應用程式等。這些檔案最常被用來當成開啟舊版Winodws控制台的捷徑。

圖1.SettingContent-ms的副檔名以及icon

 

圖2.Figure 2. 正常 SettingContent檔案中的 DeepLink tag

除了垃圾郵件活動之外，還有一些關於微軟SettingContent-ms的概念驗證(POC)研究，在七月份由Specter Ops所發佈。由此份研究報告以及實際出現的攻擊行動顯示出只要將DeepLink tag下的指令替換成惡意指令碼，便可利用SettingContent-ms執行惡意程式。一開始當微軟從研究人員聽到這個問題時，他們並不認為這是作業系統的弱點。但是在2018年8月，他們公布了修正程式以修補這個問題: CVE-2018-8414

圖 3.  DeepLink tag 下的惡意指令碼

如圖3所示，是一個SettingContent-ms被濫用的範例，在DeepLink tag下的惡意指令碼可以執行PowerShell script並從惡意網站下載並執行惡意程式。

在進一步研究這些方法時，我們開始看到該技術的局限性。 單獨使用DeepLink似乎有一些缺點：

優點 

• 檔案size較小 – 乍看之下不容易看出可疑性 

缺點

•  容易佈署 
• 最多只接受517個字元 
• 侷限在一些命令執行技術，例如: Command Prompt,PowerShell,MSHTA,Certutil,Bitsadmin, WMI 

藉由這些觀察，進一步的研究發現可以利用SettingContent-ms發展其他技術。稍早之前，研究人員已經研究如何利用Icon Tag應用在惡意的攻擊活動。為了驗證這個技術是否可行，我們建立了一個SettingContent PoC，這包含了DeepLink以及Icon tag，用來裝載惡意程式碼。

DeepLink + Icon-based的惡意程式碼—如何運作?

在這個情境中，DeepLink tag只能包含一個指令，並且可以呼叫寫在Icon tag下的惡意程式碼。在我們的PoC研究中，我們將Icon tag下的Script做了非常深度的程式碼混淆，如同圖4所示。

圖 4. DeepLink 呼叫了 Icon tag

圖 5. 寫在Icon tag下的惡意PowerShell script (移除程式碼混淆)

我們做了這個測試目的是為了確認Icon-based這類較長以及複雜的惡意程式碼是否會執行，結果這類惡意程式碼的確可以被執行。在這個Poc中寫入在Icon tag下的PowerShell script是來自於TROJ_PSINJECT.A，這個惡意程式會下載ANDROM/GAMARUE。

即便做了這樣的操作，無論在Icon tag下被寫入什麼，Icon顯示仍為空白(如圖 1所示)。

假設這樣的技術可能成為未來潛在的威脅，仍有其優缺點:

優點

• 容易佈署
• Icon tag可以寫入的字元數不受限制
• 不限於簡單的命令執行；可以佈署各種個Script例如ReflectivePEInjection, backdoors，等等。

缺點

• 檔案size較大- 容易被標註為可疑程式

 

解決方案以及緩解方式

這個技術顯示出網路犯罪可能擁有很多的工具，用來協助他們佈署複雜又有效的惡意程式碼。上述的情境，由一個SettingContent-ms中DeepLink tag下的惡意指令開始，進而我們發現了可以透過Icon tag佈署更複雜以及更長的惡意程式碼。

除了SettingContent-ms之外，可能還有其他更多的正常檔案被濫用。因此我們必須持續針對不同的應用程式進行研究，比惡意程式作者以及新的威脅更早一步發現可能的風險。

為了防護濫用SettingContent-ms的類似威脅，可以利用具備行為分析能力的解決方案，透過行為監控可以發掘並阻擋惡意的指令，以避免惡意程式在受害者的電腦上被執行。

趨勢科技趨勢科技OfficeScan  XGen™ 防護 端點防護使用高準度機器學習(Machine learning,ML)以及其他的偵測技術搭配全球威脅情資可以提供全面的安全防護，對抗進階的惡意程式。我們也持續監控SettingContent-ms類型檔案是否出現新的惡意指令。

◎原文來源: SettingContent-ms can be Abused to Drop Complex DeepLink and Icon-based Payload  作者:Michael Villanueva