Поделиться
Плохо настроенные ресурсы Docker обогащают злоумышленников
Эксперты компании Trend Micro описали кампанию, нацеленную на серверы API Docker со слабыми настройками. На них добывают криптовалюту XRP.
Посторонним вход не воспрещен
Cерверы API удаленного доступа Docker стали объектом криминальной киберкампании: злоумышленники используют их для распространения майнеров SRBMiner по скомпрометированным системам.
Как выяснили эксперты компании Trend Micro, злоумышленники используют соединения по протоколу gRPC через другой протокол – h2c, чтобы обходить защитные системы и запускать криптомайнеры на хостах Docker.
«Docker – это платформа, которая позволяет разработчикам создавать, тестировать, разворачивать приложения и обеспечивать общий доступ к ним. Одной из функций Docker является API... позволяющий управлять контейнерами, образами и томами удаленно. В то же время эта функция привносит риски безопасности, если серверы API некорректно настроены и доступны из интернета, что может приводить к компрометации безопасности и эксплуатации ресурсов злоумышленниками», – написали исследователи.
Злоумышленники сперва проверяют доступность и версию API Docker, а затем запрашивают, доступны ли надстройки протокола HTTP/2, вслед за чем запрашивают повышение уровня соединения до h2c (это вариант протокола HTTP/2 без TLS-шифрования).
Кроме того, злоумышленники проверяют, доступны ли соединения через gRPC – они используются для различных задач по управлению средами Docker, в том числе проверки исправности функционирования, синхронизации файлов, авторизации, управления так называемыми секретами и перенаправления через SSH.
Как только сервер обрабатывает запрос на повышение уровня соединения, ему отправляется новый запрос: «/moby.buildkit.v1.Control/Solve», с помощью которого формируется новый контейнер. Он и используется для непосредственной генерации криптовалют XRP с помощью SRBMiner, чьи исполняемые компоненты хостятся в открытую на GitHub.
Нормальные злодеи всегда идут в обход
Соединения по протоколу gRPC через h2c позволяют обойти сразу несколько слоев безопасности, – утверждают исследователи. Они также выдвинули несколько рекомендаций по обеспечению безопасности контейнеров. В первую очередь, все компоненты – и сами контейнеры, и API – должны быть корректно настроены. На ресурсах Docker приводятся исчерпывающие инструкции, как это сделать, а также приводит рекомендации по безопасному использованию. Во-вторых, контейнеры не должны запускаться с привилегиями root, только с пользовательскими. В-третьих, доступ к контейнерам следует открывать только для доверенных ресурсов, лучше всего, только из внутренних сетей. Наконец, рекомендуется регулярно проводить аудит безопасности на предмет подозрительных контейнеров и образов.
«Поскольку Docker обычно запускается в высокопроизводительных средах, интерес операторов криминальных криптомайнеров к ним весьма логичен, – считает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Текущая компания явно эксплуатирует именно слабые места в безопасности и некорректные настройки. Только из-за них данные атаки и стали возможны».
XRP, так же известная как Ripple, – криптовалюта, созданная в 2012 г. С начала текущего десятилетия с ее создателями – компанией Ripple Labs, inc., – не слишком успешно судится Комиссия по биржам и ценным бумагам, пытающаяся доказать, что XRP – это актив, требующий такого же регулирования, как акции и другие ценные бумаги. Пока что суд решил иначе.
XRP не обладает сомнительной репутацией, например, Monero, являющейся наиболее популярным средством расчетов в киберкриминальном мире. Однако попытки нелегально ее добывать распространены очень широко.
Стоимость XRP на данный момент колеблется в пределах 50 центов за монету.
Поделиться
Короткая ссылка
