TeamTNT tehdit grubunun bir üyesi tarafından yapılan görünür bir operasyonel güvenlik hatası, kötü yapılandırılmış Docker sunucularından yararlanmak için kullandığı bazı taktikleri ortaya çıkardı.
Trend Micro’dan güvenlik araştırmacıları, yakın zamanda, tehdit aktörlerinin genel olarak yaygın olarak kullanılan bulut konteyner platformundaki güvenlik açıklarından ve yanlış yapılandırmalardan nasıl yararlandığını anlamak için açıkta kalan bir Docker REST API’sine sahip bir bal küpü kurdu. Buluta özel kampanyalarıyla tanınan bir grup olan TeamTNT’yi Docker bal küpünden yararlanmak için en az üç girişimde bulunduğunu keşfettiler.
Trend Micro’da tehdit araştırma mühendisi Nitesh Surana, “Balküplerimizden birinde, Docker Daemon’un REST API üzerinden açığa çıktığı bir sunucuyu kasıtlı olarak açığa çıkardık” diyor. Surana, “Tehdit aktörleri yanlış yapılandırmayı buldular ve DockerHub kayıtlarına giriş yaptıkları Almanya merkezli IP’lerden üç kez yararlandılar” diyor. “Gözlemimize dayanarak, saldırganın amacı Docker REST API’sinden yararlanmak ve kripto hırsızlığı gerçekleştirmek için temel sunucuyu tehlikeye atmaktı.”
Güvenlik satıcısının aktivitenin analizi sonunda TeamTNT’nin kontrol ettiği (grup DockerHub ücretsiz Container Registry hizmetlerini kötüye kullanıyordu) ve madeni para madencileri de dahil olmak üzere çeşitli kötü amaçlı yükleri dağıtmak için kullandığı en az iki DockerHub hesabının kimlik bilgilerinin ortaya çıkarılmasına yol açtı.
Hesaplardan biri (“alpineos” adıyla), rootkit’ler, Docker kapsayıcı kaçış kitleri, XMRig Monero madeni para madenciliği, kimlik bilgileri hırsızları ve Kubernetes istismar kitlerini içeren kötü amaçlı bir kapsayıcı görüntüsü barındırıyordu.
Trend Micro, kötü niyetli görüntünün 150.000’den fazla kez indirildiğini keşfetti ve bu da geniş bir enfeksiyon alanına dönüşebilir.
Diğer hesap (sandeep078) benzer bir kötü amaçlı kapsayıcı görüntüsüne ev sahipliği yaptı, ancak öncekine kıyasla çok daha az “çekme” – yaklaşık 200 – vardı. Trend Micro, TeamTNT Docker kayıt hesabı kimlik bilgilerinin sızdırılmasıyla sonuçlanabilecek üç senaryoya işaret etti. Bunlar, DockerHub hesabından çıkış yapamama veya kendi kendine bulaşan makinelerini içerir.
Kötü Amaçlı Bulut Konteyner Görüntüleri: Yararlı Bir Özellik
Geliştiriciler, kapsayıcıları oluşturabilmeleri ve uzak sunucularda Docker komutları çalıştırabilmeleri için genellikle Docker arka plan programını REST API’si üzerinden kullanıma sunar. Ancak Surana, uzak sunucular düzgün şekilde yapılandırılmamışsa, örneğin onları herkese açık hale getirerek saldırganların sunuculardan yararlanabileceğini söylüyor.
Bu durumlarda, tehdit aktörleri, kötü amaçlı komut dosyaları yürüten görüntülerden güvenliği ihlal edilmiş sunucuda bir kapsayıcı oluşturabilir. Bu kötü amaçlı görüntüler genellikle DockerHub, Amazon Elastic Container Registry (ECR) ve Alibaba Container Registry gibi kapsayıcı kayıtlarında barındırılır. Saldırganlar her ikisini de kullanabilir güvenliği ihlal edilmiş hesaplar Trend Micro, daha önce bu kayıtlarda kötü amaçlı görüntüleri barındırabileceklerini veya kendilerinin kurabileceklerini belirtmişti. Saldırganlar ayrıca kendi özel kapsayıcı kayıtlarında kötü amaçlı görüntüler barındırabilir.
Surana, kötü amaçlı bir görüntüden oluşturulan kapsayıcıların çeşitli kötü amaçlı etkinlikler için kullanılabileceğini belirtiyor. “Docker çalıştıran bir sunucunun Docker Daemon’u REST API üzerinden herkese açık olarak açığa çıkarsa, bir saldırgan kötüye kullanabilir ve saldırgan tarafından kontrol edilen görüntülere dayalı olarak ana bilgisayar üzerinde kapsayıcılar oluşturabilir” diyor.
Çok Sayıda Siber Saldırgan Yükü Seçeneği
Bu görüntüler kripto madencileri, açıklardan yararlanma kitleri, kapsayıcı kaçış araçları, ağ ve numaralandırma araçları içerebilir. Analize göre, “Saldırganlar, bu kapsayıcıları kullanarak ortam içinde kripto hırsızlığı, hizmet reddi, yanal hareket, ayrıcalık yükseltme ve diğer teknikleri gerçekleştirebilir”.
“Docker gibi geliştirici merkezli araçların kapsamlı bir şekilde kötüye kullanıldığı biliniyor. [developers] genel olarak erişim ve kimlik bilgisi kullanımı için politikalar oluşturarak ve aynı zamanda ortamlarına yönelik tehdit modelleri oluşturarak” diyor Surana.
Kuruluşlar ayrıca, istismarların en aza indirilmesini sağlamak için kapsayıcıların ve API’lerin her zaman doğru şekilde yapılandırıldığından emin olmalıdır. Bu, yalnızca dahili ağ veya güvenilir kaynaklar tarafından erişilebilir olmalarını sağlamayı içerir. Ayrıca, güvenliği güçlendirmek için Docker’ın yönergelerini takip etmelidirler. Surana, “Kullanıcı kimlik bilgilerini hedefleyen kötü niyetli açık kaynak paketlerinin sayısı arttıkça, kullanıcıların kimlik bilgilerini dosyalarda saklamaktan kaçınmaları gerekir. Bunun yerine, kimlik bilgileri depoları ve yardımcılar gibi araçları seçmeleri önerilir” diyor.