Aylardır siber suçlular, kripto hırsızlığı gerçekleştirmek için yanlış yapılandırılmış Docker konteynerlerinden yararlanıyor.
“Komando Kedisi” – tek kampanya değil Son zamanlarda Docker’ı hedef almanın izleri yılın başına kadar uzanıyor. Son güncellemeye göre Trend Micro’dan gelen bilgilere göre, bilinmeyen saldırganlar, konteynerli ortamlara yetkisiz erişim sağlamak için Docker’ın yanlış yapılandırmalarından yararlanmaya devam ediyor, Docker görüntülerini kripto para madencilerini dağıtmak ve hızlı para kazanmak için kullanıyor.
Docker Konteynerlerini Yönetme
Konteynerizasyon uzun süredir kuruluşlar için faydalı olmuştur. Son zamanlarda, aynı zamanda siber saldırganlar için de yararlı olmuştur.
Commando Cat’i (aynı zamanda diğer en son Docker istismarı) Ocak ayında. “Bunu yapmanın iki yolu var. Bir kitaplık içindeki bir kapsayıcıyı kaydedebilir ve daha sonra kötü amaçlı kodunuzu içeren bu kapsayıcıyı kitaplıktan çağırabilir ve bu kötü amaçlı kodu çalıştırabilirsiniz. İnsanları görmeye başlıyoruz. bundan uzaklaşın çünkü kütüphaneler kötü niyetli kapları bulma konusunda gerçekten iyi bir iş çıkarıyor.”
Commando Cat ise diğer yaklaşımı benimsiyor: Zararsız kapları, kötü niyetli kodlarını çalıştırabilecekleri boş sayfalar olarak kullanıyor.
Pek çok modern siber saldırıda olduğu gibi bunu yapmak için, tehdit aktörü öncelikle odaklanacağı açık uç noktaları belirler. Bu durumda bu uç noktalar Docker uzak API sunucularıdır. Carchrie, “10 olaydan dokuzunda bu, yanlış yapılandırmayla sonuçlanacak. Bulutta, şirket içinde veya hibritte pek çok olayda gördüğümüz gibi, bu büyük ölçüde gözetimden kaynaklanıyor” diye belirtiyor.
Saldırgan, ilk erişim aracı olarak açığa çıkan uç noktaları kullanarak, açık kaynak aracı Commando’yu kullanarak zararsız bir Docker görüntüsü dağıtır ve ardından bunu yeni bir kapsayıcı oluşturmak için temel olarak kullanır. Daha sonra, “chroot” Linux işlemini ve ana bilgisayar sistemlerindeki dizinleri Docker konteynerlerine bağlamanın bir yolu olan birim bağlamayı kullanarak konteynerin dışına göz atarlar ve sonuçta ana bilgisayar işletim sistemine kaçış.
Sonunda bir komuta ve kontrol (C2) kanalı kurabilir ve kripto hırsızlığı yapan kötü amaçlı yazılımlarını yükleyebilirler.
Kuruluşlar Neler Yapabilir?
Commando Cat’in saldırıları, hedef sisteme arka kapı açmak, kalıcılık sağlamak, bulut kimlik bilgilerini sızdırmak ve daha fazlasını yapmak için tasarlanmış komut dosyalarını içeren yüklerin bu yılın başlarından itibaren bir miktar kolaylaştırıldı. Açık olan şu ki, farklı koşullar altında aynı türden bir saldırı, kripto hırsızlığından çok daha fazlasına yol açabilir.
Trend Micro, bu riski azaltmak için kuruluşların yalnızca resmi veya sertifikalı Docker görüntülerini kullanmasını, kapsayıcıları kök ayrıcalıklarıyla çalıştırmaktan kaçınmasını, düzenli güvenlik denetimleri gerçekleştirmesini ve kapsayıcılar ve API’lerle ilgili genel yönergelere ve en iyi uygulamalara bağlı kalmasını öneriyor.
Ve hepsinden önemlisi, Carchrie şunu vurguluyor: “Docker kapsayıcınızın API’sinin İnternet tarafından doğrudan erişilebilir olmadığından emin olun.”