Exponierte Docker Control API und Community Image für Mining Malware missbraucht

Originalbeitrag von Alfredo Oliveira, Senior Threat Researcher

Über die Datenanalyse der Container-Honeypots, die die Sicherheitsforscher von Trend Micro aufgesetzt hatten, stellten sie erhebliche Aktivitäten von nicht autorisierten Kryptowährungs-Minern fest. Die Honeypots bestehen aus von der Community-unterstützten Container Images auf dem Docker Hub und sind standardmäßig aufgesetzt, ohne zusätzliche Sicherheitssoftware. Das Ziel ist, Angriffe anzuziehen, die die Container-Plattform selbst und nicht die Anwendungen treffen.

Das Image wurde von einem bösartigen Service ausgenutzt, der diese Miner ausliefert. Auch wurden Netzwerk-Tools eingesetzt, die laterale Bewegungen auf anderen exponierten Containern und Anwendungen durchführen sollten. Die entdeckten Aktivitäten sind auch deshalb bemerkenswert, weil sie für Angriffe keine Sicherheitslücken nutzen müssen und auch nicht von einer Docker-Version abhängig sind. Einem Angreifer genügt es, eine schlecht konfigurierte und damit exponierte Container-Image zu finden, um viele exponierte Hosts zu infizieren.

Ein exponiertes Docker API ermöglicht es einem böswilligen Nutzer, vielfältige Befehle auszuführen, so etwa die laufenden Container aufzulisten, Logs von bestimmten Containern aufzurufen, einen Container zu starten, stoppen oder gar zu killen sowie einen neuen zu erstellen mit einem bestimmten Image und bestimmten Optionen.

Bild 1. Ablegen der Payloads und Visualisierung der Umgebung des Angreifers, sodass die Images remote aufgesetzt werden können

Bild 2. Die Verteilung der 3.762 exponierten Docker APIs nach Ländern, basierend auf den Ergebnissen einer Shodan-Abfrage (12. Februar, 2019)

Die erneute Shodan-Abfrage zeigte, dass die Zahl der exponierten Docker APIs seit der letzten Untersuchung von schlecht konfigurierten und ausgenutzten Container zugenommen hatte auf 3.762. Noch im Oktober 2018 waren es lediglich 856.

Die Analyse der Honeypot-Logs zeigte des Weiteren, dass die Nutzung der Container Image auch den Missbrauch von ngrok mit sich brachte, einem Tool, das für das Zustandekommen sicherer Verbindungen oder Relay-Verkehrs von öffentlich zugänglichen Endpunkten zu bestimmten Adressen oder Ressourcen (z.B. einem Localhost) verwendet wird. Damit können Angreifer dynamisch URLs erstellen für die Ablage von Payloads auf einem exponierten Host. Weitere technische Einzelheiten umfasst der Originalbeitrag.

Empfehlungen

Fehlkonfigurationen sind eine ständige Gefahr für Unternehmen, vor allem für diejenigen, die DevOps einsetzen für schnelle Entwicklung und Bereitstellung. Gefragt ist Security by Design. Dies schließt auch die folgenden Empfehlungen mit ein:

  • Systemadministratoren und Entwickler sollten immer die Konfiguration des APIs prüfen und sicherstellen, dass es lediglich von einem bestimmten Host oder internen Netzwerk Anfragen annimmt.
  • Implementieren des Prinzips der geringsten Privilegien: Es muss sichergestellt sein, dass Container Images signiert und authentifiziert sind, der Zugriff auf kritische Komponenten (wie etwa der Daemon-Service, der den Ablauf des Containers unterstützt) eingeschränkt und die Netzwerkverbindungen verschlüsselt werden.
  • Administratoren müssen Best Practices befolgen und Sicherheitsmechanismen einsetzen, wie etwa Dockers eigene Guidelines und mitgelieferte Sicherheitsfähigkeiten.
  • Einsetzen von automatisiertem Runtime- und Image-Scanning, um mehr Einsichten in die Prozesse des Containers zu erhalten (und festzustellen, ob sie manipuliert wurden oder Schwachstellen enthalten). Applikationskontrolle und Integritätsmonitoring tragen ebenfalls dazu bei, verdächtige Veränderungen auf Servern, in Dateien oder Systemen zu erkennen.

Trend Micro unterstützt DevOps Teams mit Hybrid Cloud Security dabei, ihre Arbeit effizient und sicher durchzuführen. Die Lösung liefert funktionsstarke, automatisierte und schlanke Sicherheit innerhalb der DevOps-Pipeline und wird von mehreren XGen™ Threat Defense-Techniken unterstützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.