AESDDoS Botnet Malware infiziert Container über Docker APIs

Originalbeitrag von David Fiser, Jakub Urbanec und Jaromir Horejsi

 

Falsche Konfigurationen stellen immer ein Risiko dar. Die Sicherheitsforscher von Trend Micro entdeckten über ihre Honeypots eine Angriffsmöglichkeit über eine Fehlkonfiguration eines APIs im quelloffenen Docker Engine-Community, wobei die Angreifer Container infiltrieren können und eine Variante (Backdoor.Linux.DOFLOO.AA) der Linux Botnet Malware AESDDoS verwenden. Docker APIs, die auf Container-Hosts laufen, ermöglichen es den Hosts, alle Container-bezogenen Befehle zu empfangen, die der Daemon mit Root-Rechten ausführt. Wenn ein externer Zugriff – absichtlich oder durch eine Fehlkonfiguration – auf API-Ports möglich ist, können Angreifer den Host übernehmen und Instanzen mit Schadsoftware „vergiften“. Auf diese Weise erlangen sie einen Remote-Zugriff auf Server von Nutzern und andere Hardware-Ressourcen. Es hat schon einige Fälle gegeben, wo die Cyberkriminellen etwa Krypto-Mining Malware installierten.

Der Angriff

Bei diesem neuen Angriff scannt der Angreifer erst extern eine Reihe vorgegebener IPs, indem er ein TCP SYN Packet an Port 2375 sendet, den Standard Port für die Kommunikation mit dem Docker Daemon. Dann wird eine Verbindung erstellt, die nach laufenden Containern fragt. Sobald ein solcher entdeckt wird, installiert sich der AESDDoS-Bot mithilfe des docker exec-Befehls, der einen Shell-Zugriff auf alle verfügbaren Container innerhalb des exponierten Hosts ermöglicht. Technische Details zum Angriff und den Tools liefert der Originalbeitrag.

DevOps-Sicherheitsempfehlungen und Trend Micro-Lösungen

Docker warnt explizit davor, den Docker Daemon so aufzusetzen, dass er auf Port 2375 horcht, denn damit hätte jeder die Möglichkeit, einen Root-Zugriff auf den Host zu erlangen, wo der Daemon läuft.

Um Container-bezogene Vorfälle zu verhindern, sollten Unternehmen die folgenden Leitlinien beachten:

  • Checken der API-Konfiguration. Systemadministratoren und Entwickler sollten sicherstellen, dass die APIs so aufgesetzt sind, dass sie Anfragen nur von festgelegten Hosts oder internen Netzwerken empfangen. API-Endpoints  HTTPS und Zertifikaten sichern.
  • Das Prinzip der „Least Privilege“ anwenden. Es sollte sichergestellt sein, dass Container Images signiert und authentifiziert sind. Der Zugriff auf kritische Komponenten wie den Daemon-Service muss eingeschränkt werden. Netzwerkverbindungen sollten verschlüsselt sein.
  • Befolgen der empfohlenen Best Practices. Docker liefert eine umfassende Liste mit Best Practices und hat eingebaute Sicherheitsfunktionen.
  • Anwenden von automatisiertem Laufzeit- und Image-Scanning, um bessere Einsichten in die Prozesse des Containers zu erlangen (etwa um feststellen zu können, ob sie modifiziert wurden oder Lücken vorhanden sind). Applikationskontrolle und Integrity Monitoring helfen dabei, verdächtige Modifikationen auf Servern, in Dateien und Systembereichen zu überwachen.

Trend Micro unterstützt DevOps Teams Systeme sicher zu erstellen, sie schnell auszuliefern und sie überall laufen zu lassen. Trend Micro™ Hybrid Cloud Security liefert funktionsstarke, schlanke und automatisierte Sicherheit für die DevOps Pipeline mit mehreren XGen™ Threat Defense Techniken zum Schutz von physischen, virtuellen und Cloud Workloads. Die Lösung kann auch Container schützen mithilfe von Deep Security™ und Deep Security Smart Check, wobei Docker Container Images auf Malware und Sicherheitslücken in selbst bestimmten Zeiträumen gescannT werden. Der Originalbeitrag umfasst auch die Indicators of Compromise.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.