來自Aqua Security的資安研究人員報告了利用Kinsing惡意軟體攻擊設定不當Docker服務API端口的惡意活動。該活動會攻擊端口來運行一個Ubuntu容器。
研究人員指出,Kinsing惡意軟體內的字串顯示出它是用Golang開發的Linux代理程式。研究人員執行了惡意軟體來檢查其行為,發現它在進行惡意行為前會跟以下IP地址建立連線:
- 45.10.88[.]102 – 伺服器未回應。
- 91.215.169[.]111 – 連線建立。應該是主要C&C伺服器。惡意軟體會定期傳送小的加密訊息給此主機。
- 217.12.221[.]244/spre.sh – 連線建立。用於下載shell腳本spre.sh
- 193.33.87[.]219 – 連線建立。用於下載虛擬貨幣挖礦病毒kdevtmpfsi。
下載來的spre.sh腳本用來進行跨容器網路的橫向移動以散播惡意軟體。Shell腳本會從/.ssh/config、.bash_history、/.ssh/known_hosts和其他類似位置收集資料。接著會用SSH對各主機輸入帳號密碼組合來嘗試建立連線。如果連線成功,就會在該主機下載上述shell腳本,並在網路內的其他主機或容器上執行惡意軟體。在spre.sh攻擊之後,惡意軟體會執行kdevtmpfsi虛擬貨幣挖礦病毒。
[相關文章:容器安全:檢查容器環境的潛在威脅]
為了躲避偵測和維持持續性,該惡意軟體會用腳本d.sh進行下列動作:
- 停用安全措施和清除日誌
- 利用crontab來每分鐘下載和執行Shell腳本
- 暫停和刪除許多應用程式(如其他惡意軟體和虛擬貨幣挖礦程式)的相關檔案
- 安裝並執行Kinsing惡意軟體
- 終止其他惡意Docker容器並刪除它們的映像
- 尋找其他執行中的命令和cron;如果找到就會刪除所有的cron工作排程,包括自己的。
保護容器抵禦威脅
不斷成長的組織需求讓更多企業使用容器技術來滿足自己延伸性的需求。隨著越來越多公司使用容器技術,也會吸引更多的網路犯罪分子將其視為可以獲利的目標。根據趨勢科技研究人員的發現,設定不當的容器長期以來都是虛擬貨幣挖礦病毒和殭屍網路攻擊的對象,同時也讓網路犯罪分子取得進入企業網路的後門。為了保護容器抵禦此類威脅,建議企業採用以下建議:
- 保護容器主機。使用為容器技術設計的作業系統運行容器來減少受攻擊面,並且用工具監視主機的健康狀態。
- 保護網路環境。使用如入侵防禦系統(IPS)和網頁過濾等安全措施來過濾和監視內部與外部的網路流量。
- 保護管理堆疊。容器登錄應受到保護和監控,並且要加強鎖定Kubernetes以確保安全。
- 保護組建管道。安裝強大的端點安全控制並實施存取控制方案。
- 實施建議的最佳實作。
Hybrid Cloud Security(混合雲防護) 是雲端安全防護自動化且單一整合的解決方案。趨勢科技Cloud One能夠保護工作負載(虛擬、實體、雲端和容器)及掃描容器映像。趨勢科技Cloud One – Container Security透過自動化容器映像和登錄掃描來保護雲端原生應用程式。而在安全軟體方面:趨勢科技Deep Security(工作負載和容器安全防護)和趨勢科技Deep Security Smart Check(容器映像安全防護)會掃描容器映像是否存在惡意軟體和漏洞。
@原文出處:Misconfigured Docker Daemon API Ports Attacked for Kinsing Malware Campaign
訂閱資安趨勢電子報