Docker API’lerine Yönelik Tehditler ve Kötü Amaçlı Araçların Gelişimi
Son zamanlarda, Docker API’lerini hedef alan tehdit aktörlerinin, zararlı araçlarını daha tehlikeli bir işlevsellikle güncellediği ortaya çıktı. Bu durum, daha karmaşık bir botnet yapısının temelini oluşturabilir. İlk olarak Haziran ayında, siber güvenlik şirketi Trend Micro tarafından bildirilen bu faaliyetler, saldırganların şifreleme madencisi (cryptominer) dağıtmak için kullandığı kötü niyetli kod ve scriptlerin analizine dayanıyor. Akamai araştırmacıları ise, artık bir madenci dağıtmak yerine daha karmaşık bir yük (payload) kullanıldığını keşfetti. Bu yük, ele geçirilen Docker API’lerine erişimi bloklama yeteneğine sahip.
Enfeksiyon Zinciri
Saldırganlar, saldırıya açık bir host üzerinde yerleşik olan Docker API’lerinin (port 2375) keşfini yaparak başlar. Bu süreçte, modifiye edilmiş bir Alpine Linux imajı kullanarak bir konteyner oluşturma isteği gönderirler. Bu imaj, base64 kodlanmış bir shell komutunu içermektedir.
Konteyner, kodlanmış shell komutunu çözdükten sonra curl ve tor yükler, arka planda bir Tor daemon başlatır ve checkip.amazonaws.com hizmetine erişerek bağlantının onayını bekler. Tor aktif hale geldiğinde, konteyner bir ikinci aşama shell scripti olan docker-init.sh‘yi, bir Tor gizli hizmetinden curl kullanarak indirir ve çalıştırır.
docker-init.sh scripti, kalıcı SSH erişimi sağlamak amacıyla saldırgan tarafından kontrol edilen bir public key’i /root/.ssh/authorized_keys dosyasına ekler. Ayrıca, ana makinede her dakika çalışacak bir cron görevi yazmakta ve mevcut olan her türlü firewall aracıyla (iptables, nftables, ufw vb.) port 2375’e dışarıdan erişimi engellemektedir.
Bunun yanı sıra, tarama, yayılma ve kaçınma süreçleri için gerekli olan araçlar olan masscan, zstd, libpcap ve torsocks yüklenir. Malware, Tor üzerinden Zstandard ile sıkıştırılmış bir Go binary (system-linux-ARCH.zst) indirir, açar ve /tmp/system dizinine kurarak çalıştırır. Bu Go binary, gömülü bir ikinci aşama binary’sini çıkarır ve çalıştırır, aynı zamanda host’un utmp dosyasını analiz ederek oturum açmış kullanıcıları tanımlar.
Botnet Oluşturma Davranışı
Go binary’si, diğer açık Docker API’lerini tarar ve aynı konteyner oluşturma yöntemi ile enfekte etmeye çalışır. Erişim sağladıktan sonra rakip konteynerleri kaldırır. Bu kendine özgü çoğalma mekanizması, genellikle yeni düğümleri bağımsız bir şekilde enfekte etme yeteneğine sahip botnet agent’lerinin temel bir özelliğidir.
Akamai, Telnet (port 23) kullanarak varsayılan yönlendirici kimlik bilgilerini istismar etme ve Chrome‘un uzaktan hata ayıklama arayüzü (port 9222) ile etkileşimde bulunma için inaktif mantıkların varlığına dikkat çekmektedir. Bu durum, kimlik bilgisi hırsızlığı, tarayıcı oturumu kaçırma, uzaktan dosya indirme ve dağıtılmış hizmet reddi (DDoS) saldırıları için gelecekteki genişleme fırsatlarını gösteriyor.
Akamai’nin araştırmacıları, bu varyantın “karmaşık bir botnet‘in ilk sürümü” olduğu inancını taşımaktadır. Bulunan temel mekanizmalar, botnet’in olgunlaşmış bir versiyonunun henüz bulunmadığını ileri sürmektedir.
Bu süreç, fırsatçı Docker istismarlarının geniş bir tehdit haline dönüşümünü gözler önüne seriyor. Tespit edilen bu yeni nesil tehditler, çoklu hareket kabiliyeti, kalıcılık ve şimdilik uyku halinde olan kimlik hırsızlığı ile tarayıcı kaçırma seçenekleri ile güvenlik tehditlerini artırmaktadır.
Bu tür gelişmeler, hem siber güvenlik alanında hem de Docker ve genel yazılım güvenliği açısından dikkate alınması gereken önemli bir konu haline gelmiştir. Yüksek düzeyde güvenlik önlemleri almak ve Docker API‘lerini korumak için hem geliştiricilerin hem de sistem yöneticilerinin gerekli önlemleri alması büyük önem taşımaktadır.
