Schlecht konfigurierte Container für Kryptowährungs-Mining Malware ausgenutzt

Originalartikel von Hubert Lin, Fyodor Yarochkin und Alfredo Oliveira


Trend Micro entdeckte mehrere Fälle des Missbrauchs von Systemen mit schlecht konfigurierten Docker Engine Community und mit exponierten Docker API-Ports. Die bösartigen Aktivitäten konzentrierten sich auf das Scannen nach offenen Ports 2375/TCP und 2376/TCP, die vom Docker Engine Daemon (dockerd) genutzt werden. Das Ziel des Eindringens in die Systeme ist das Ablegen einer Kryptowährungs-Mining Malware (Coinminer.SH.MALXMR.ATNE).

Docker implementiert die Virtualisierung auf Betriebssystemebene – auch als Containerization bekannt. Die Docker APIs ermöglichen Remote-Nutzern Docker-Images wie ein lokaler Docker-Client zu kontrollieren. Es ist nicht empfehlenswert den API Port für externen Zugriff zu öffnen, denn so können Hacker die falsche Konfiguration für bösartige Aktivitäten missbrauchen.

Die Docker Engine selbst wird dabei nicht kompromittiert oder missbraucht, und auch die Unternehmensplattform von Docker ist davon nicht betroffen. Die Docker-Technologie umfasst Sicherheitsfähigkeiten, die die Nutzer aktivieren und konfigurieren können, um die Container und Workloads zu schützen. Auch gibt es von Docker Tools, Dokumentation und Anleitungen, die beim Sichern der Community– und Unternehmens-Plattformen unterstützen. Hier wird z.B. Unternehmen, die Geschäftsanwendungen betreiben, empfohlen, eine kommerzielle Docker-Lösung einzusetzen, die präzise, rollenbasierte Zugriffskontroll-Settings enthält, die nur die authentifizierte Nutzung der APIs zulässt.

Trend Micros Forschung ergab, dass die Gefährdung der Docker API-Ports das Ergebnis der falschen Konfiguration durch Nutzer war, denn sie wurde per Hand auf Administratorenebene aufgesetzt. Eine Shodan-Suche zeigte, dass es weltweit – ob in China, USA, Frankreich, Deutschland, Niederlande, Großbritannien, Japan oder Irland – viele schlecht konfigurierte Docker-Hosts gibt. Die meisten der exponierten Systeme laufen mit Linux. Dies ist interessant, weil der Daemon in Linux per Hand konfiguriert werden muss, anders als bei Docker für Windows bis zur Version 17.0.5-win8.




Bild 1: Bösartige Aktivitäten und/oder falsche Konfiguration auf den Ports 2375 und 2376: Zeitachse (oben) und Verbreitung nach Ländern (unten)

Bild 2: Infektionsablauf der Angriffe auf schlecht konfigurierte Docker Engine

Trend Micro stellte fest, dass die Angreifer häufig Docker-Container über exponierte API-Ports (siehe Bild 2) erstellen und Befehle an kompromittierte Docker-Instanzen absetzen. Einzelheiten zu den Angriffen liefert der Originalbeitrag.

Best Practices und Trend Micro-Lösungen

Das Einbinden von automatisierter Sicherheit möglichst früh im Entwicklungszyklus reduziert nicht nur die Unterbrechungen sondern unterstützt auch IT- und DevOps-Teams dabei, Sicherheitslücken schneller zu überbrücken. Zu den Best Practices für Docker-Sicherheit gehören die folgenden:

  • Verbessern der Haltung zur Sicherheit. Das Center for Internet Security (CIS) hat eine Benchmark-Referenz, die Systemadmins und Sicherheitteams dabei unterstützt, eine Benchmark festzulegen, um die Docker Engine zu sichern.
  • Sicherstellen, dass Container Images authentifiziert und von einer vertrauenswürdigen Registry (z.B. Docker Trusted Registry) signiert werden. Der Einsatz automatisierten Image Scanning-Tools hilft, den Entwicklungszyklus zu verbessern.
  • Durchsetzen des Prinzips des „Least Privilege“. So lässt sich etwa der Zugriff auf den Daemon einschränken und die Kommunikationsprotokolle für die Verbindung zum Netzwerk verschlüsseln. Docker beinhaltet Anleitungen dazu, wie der Daemon Socket geschützt wird.
  • Geeignete Konfiguration bezüglich der Menge an Ressourcen, die Container nutzen dürfen (Control Groups und Namespaces).
  • Aktivieren von Built-In Sicherheitsfähigkeiten von Docker. Docker beinhaltet einige Anleitungen dazu, wie Docker-basierte Anwendungen sicher konfiguriert werden können.

Die Trend Micro Hybrid Cloud Security-Lösung bietet schlanke, funktionsreiche und automatisierte Sicherheit für die DevOps-Pipeline sowie mehrere XGen™ Threat Defense-Techniken für den Schutz von physischen, virtuellen und Cloud Workloads zur Laufzeit. Trend Micro Deep Security™ und Deep Security Smart Check bieten noch zusätzlich Sicherheit für Container. Indicators of Compromise (IoCs) sind im Originalbeitrag zu finden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.