安全公司 Akamai 的一名研究员 Larry Cashdollar 最近发布一篇博客文章,说明了易受攻击的 Docker 镜像遭攻击的速度。奇安信代码卫士团队编译如下:
最近,我一直都在和很多不同的蜜罐实现打交道,从 cowrie、WordPot 到 Dionaea 和 WAPot 等等不一而足。为在此基础上进行扩展,我决定使用运行可被猜测的 root 密码的 SSH 设置一个简单的 docker 镜像。这样做的目的是捕获所有用于登录 docker 镜像的凭证以及访问日志文件和屏幕的整个 shell 会话。攻击者不会轻易知道我正在做的东西,因为我使用的是一个 docker 镜像而非轻易可识别的蜜罐。
我让 docker 镜像蜜罐运行了24小时,并对这段时间的攻击进行记录和追踪。马上,我就注意到了一个趋势。使用某类密码组合的攻击者将使用该 docker 镜像从事各种犯罪活动。 root:admin、root:root、oracle:oracle 的登录组合将不可避免地将 docker 镜像用作经由 SSHd 的 SOCKSS 代理。被代理的内容是 Twitch 流、google.com、netlix.com 等。从一名同事处获悉,Twitch 流很可能正被用于填充玩家的流观看者人数。
这些登录大部分是自动完成,而且并未在 SSH 中分配 PTY(伪终端)。这样输入命令的目的可能是避免在 WHO 和 utmp/wtmp 等文件中出现。
$ ssh -l root192.168.1.20 "uptime" 14:47:34 up 5 days, 19:27, 0 users, load average:0.00, 0.00, 0.00
从日志上来看,该
docker
镜像也被用于安装僵尸网络。首个僵尸网络感染被证实是
Xorbot
网络的一个实例。这次安装的首个任务是通过
cron
条目建立持久性,并将其副本至于
.usr/bin
中并将启动脚本置于
/etc/init.d
中。命令和控制通信被在解析到端口
3309
的
192.200.192.227
域名。由于禁止从实验室到控制端口所在范围出现出站连接,因此我无法分析任何攻击流量。
如预想的那样,该 docker 镜像也遭一个 Mirai 物联网僵尸网络变体的感染。Mirai 使用 TPLink GPON 路由器、ThinkPHP等常见用户名和密码组合以及其它 exploit 感染目标系统。2016年,当 Mirai 的源代码被泄露到互联网上时,就被犯罪分子用于衍生数十个变体,而现在它还在继续传播。
如在这个项目首次启动时预想的那样,该 docker 镜像是密币挖掘恶意软件的一个主要目标。通过 SSH 运行安装脚本,该脚本使用进程监控工具 “top” 来监控进程树,检查该恶意软件是何时成功执行的。一旦检测到该进程(在本例中为 dhcpcd),该恶意软件就会向系统添加两个新用户 test 和 test1。它将密码更改为 “”(空白),并在 cron 中创建条目,在重启后启动挖掘软件。它还尝试设置各种文件(包括 /etc/shadow 和 /sbin/dhcpcd 中的恶意软件二进制文件)的不可变位 (+i)。
sha256sum:4e481f41263b649df1e5ae03e001c58ed31457f3d15d90a89ba4803c72d41ff3 dhpcd
http://ca.minexmr.com:4444
http://ca.minexmr.com:80
http://de.minexmr.com:4444
http://de.minexmr.com:80
http://fr.minexmr.com:4444
http://fr.minexmr.com:80
http://pool.minexmr.com:4444
http://pool.minexmr.com:80
http://pool.minexmr.uk:4444
http://pool.minexmr.uk:80
http://sg.minexmr.com:4444
http://sg.minexmr.com:80
该恶意软件还为/root/.ssh/authorized_keys 增加了一个 .ssh 密钥:
ssh-rsaAAAAB3NzaC1yc2EAAAADAQABAAABAQCuhPmv3xdhU7JbMoc/ecBTDxiGqFNKbe564p4aNT6JbYWjNwZ5z6E4iQQDQ0bEp7uBtB0aut0apqDF/SL7pN5ybh2X44aCwDaSEB6bJuJi0yMkZwIvenmtCA1LMAr2XifvGS/Ulac7Qh5vFzfw562cWC+IOI+LyQZAcPgr+CXphJhm8QQ+O454ItXurQX6oPlA2rNfF36fnxYss1ZvUYC80wWTi9k2+/XR3IoQXZHKCFsJiwyKO2CY+jShBbDBbtdOX3/ksHNVNStA/jPE0HYD7u6V2Efjv9K+AEbklMsytD9T60Iu3ua+ugBrP5hL7zAjPHpXH8qW4Ku7dySZ4yvH
该 docker 镜像的另外一种异常使用是邮件中继。犯罪分子将该服务器用作邮件中继并非事实,因为我从一开始就假设垃圾邮件是一种可能性。邮件中继的本质就是不可预测元素。有人已将其用到远程工作欺诈活动中。
在连接开始之时,就出现了关于该邮件中继的警示。威胁行动者有意使用 root/root 登录 Dovecot 邮件服务器,而如果他们正在发送的信息是合法的,则他们无需这样做。但是,在阅读了这些信息并重构邮件附件后,它们的通信性质变得清晰了。
两个人和第三个人通信,但第三个人并未回应。起初,这些通信是购买报告。从该 docker 镜像上的邮件日志来看,有人正在多个大型零售商处购买高价商品,并将这些购买账目和扫描收据发送给采购机构。然而,其中最后发送出的信息中提到因正被使用的银行卡“与付款有关”而出现购买问题。
关于远程工作的骗局很常见,而且从日志上来看,很明显受害者是使用自己的信用卡或由犯罪分子提供的公司卡(比如被盗卡)提交的费用报告,目的是为了获得对高价零售产品(如电话、笔记本电脑和个人平板电脑)的访问权限。
在很多情况下,买家(受害者1)把所购买的物品运给一名跨境运毒者(受害者2),向代理商提交费用支出报告(刑事诈骗),并等待进一步的指示。购买物品所花的钱要么源自被盗的信用卡,要么是由受害者维护的个人卡。承诺的报销将永远无法兑现,当调查人员开始逆向思维调查此事时,受害者正在面临欺诈。通过欺诈花600美元购买的物品随后将在二级犯罪市场上以400美元的价格出售,也就是说犯罪分子获得净利润400美元。
未受到正确保护的资源易受动机不同的竞争对手的攻击。在这个案例中,启用 SSHd 的简单系统在24小时内被用到四种不同的犯罪活动中。当把系统连接到网络时,用户必须遵循基本的安全实践,确保系统不会被黑或者被用于攻击其它互联网主机。
https://blogs.akamai.com/sitr/2020/04/a-brief-history-of-a-rootable-docker-image.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
点个 “在看” ,为我加油鸭~
