Docker API’lerinin Güvenliği ve Kripto Para Zararlıları
Son yıllarda, Docker teknolojisi, uygulamaları daha esnek bir şekilde dağıtmak ve yönetmek amacıyla popülerlik kazandı. Ancak, bu gelişmeler bazı güvenlik açıklarını da beraberinde getirdi. Özellikle, yanlış yapılandırılmış Docker API’leri, zararlı yazılımların hedefi haline gelerek kripto para madenciliği yapmakta kullanılabiliyor.
- Docker API’lerinin Güvenliği ve Kripto Para Zararlıları
- DdoS ve Kripto Para Botnetleri
- Zararlı Yazılımın Çalışma Prensibi
- Docker Daemon’un Kontrolü
- Yayılmayı Sağlayan Modüller
- Ubuntu Tabanlı Kapsayıcılar ve Hedefler
- Kripto Madenciliği ve Saldırıların Kapsamı
- Son Gelişmeler ve Diğer Tehditler
- Güvenlik Önlemleri ve Kullanıcıların Rolü
DdoS ve Kripto Para Botnetleri
Kaspersky’nin yaptığı araştırmaya göre, bir grup siber saldırgan, Docker API’sini hedef alarak, güvenli olmayan bir şekilde yayımlanmış bu arayüzlerden ilk erişimi sağladı. Saldırıların amacı, Dero para birimini madenciliğini yapmak üzere bir botnet oluşturmakti. Kullanılan zararlı yazılım, kurt formundaki yetenekleri ile diğer açık Docker örneklerine yayılarak kendini kopyalama yeteneğine sahipti.
Zararlı Yazılımın Çalışma Prensibi
Saldırı iki ana bileşen ile gerçekleştirildi: İnternette açık Docker API’lerini tarayan "nginx" adlı yayılma zararlısı ve "cloud" adlı Dero madencisi. Zararlının arka planında kullanılan Golang programlama dili, bu yazılımların tespit edilmesini zorlaştırdı. "nginx" adı verilerek, gerçek nginx web sunucusu gibi görünmesi sağlandı.
Yayılma zararlısı, çalıştığı süre boyunca, bilgisayarın mevcut durumunu kaydediyor, madenciliği başlatıyor ve sürekli olarak yeni IPv4 ağ alt ağları oluşturuyor. Bu alt ağlar, varsayılan API portu 2375 açık olan daha fazla Docker örneğini belirlemek ve onları ele geçirmek için kullanılıyor.
Docker Daemon’un Kontrolü
Zararlı yazılım, açık bir Docker daemon’un çalışıp çalışmadığını kontrol eder. Eğer "docker -H PS" komutunu çalıştıramazsa, diğer IP adreslerine geçiyor. Daemon’un çalıştığı doğrulandıktan sonra, 12 rastgele karakterden oluşan bir kapsayıcı adı oluşturuluyor ve bu isim kullanılarak hedefte kötü niyetli bir kapsayıcı yaratılıyor. Daha sonra bu kapsayıcı, bağımlılıkları kurmak için gereken güncellemeleri yapacak şekilde hazırlanıyor.
Yayılmayı Sağlayan Modüller
Zararlı yazılım, "masscan" ve "docker.io" gibi modülleri kapsayıcıya kurarak, diğer ağları tarama ve daha fazla zararı yayma sürecini başlatıyor. İleri aşamada, "nginx" ve "cloud" modülleri, hedef kapsayıcıya aktarılıyor ve bu işlem belirli komutlar kullanılarak gerçekleştiriliyor. Sürekli çalışmayı sağlamak amacıyla, "nginx" ikili dosyası "/root/.bash_aliases" dosyasına ekleniyor, böylece her oturum açılışında otomatik olarak çalışması sağlanıyor.
Ubuntu Tabanlı Kapsayıcılar ve Hedefler
Bu kampanyanın bir diğer önemli noktası, zararlının Ubuntu tabanlı kapsayıcıları enfekte etme yeteneği. Kaspersky, bu etkinliğin daha önce CrowdStrike tarafından belgelenen bir Dero madenciliği kampanyası ile örtüştüğünü bildirdi. Bu tür saldırılar, Kubernetes kümelerine yönelik yapıldığı için, güvenlik uzmanları sürekli olarak dikkatli olmalıdır.
Kripto Madenciliği ve Saldırıların Kapsamı
Saldırganların amacının sadece yerel kaynakları ele geçirmek değil, aynı zamanda diğer ağlara da saldırarak daha geniş bir sistem yaratmak olduğu ifade ediliyor. İlgili uzmanlar, bu tür zararlı yazılımların, bir C2 sunucusu olmadan yayıldığına ve böylece herhangi bir container tabanlı yapının hedef alınabileceğine dikkat çekiyor.
Son Gelişmeler ve Diğer Tehditler
AhnLab Güvenlik İstihbarat Merkezi’nin son raporları, Monero madenciliği ile ilgili yeni bir kampanya hakkında bilgi veriyor. Bu kampanya, PyBitmessage protokolünü kullanarak yeni bir arka kapı dağıtımı gerçekleştiriyor. Bu tür zararlılar, kötü niyetli yazılımların kullanıcıların verilerini ele geçirip, madencilik yapmayı sağlıyor. Kullanıcıların bu tür yazılımların sıkça dağıtıldığı sahte yazılım kaynaklarından uzak durmaları, bireysel ve kurumsal güvenlik açısından kritik öneme sahip.
Güvenlik Önlemleri ve Kullanıcıların Rolü
Kullanıcıların, güvenli distribütörlerden yazılım yüklemeleri ve dikkatli olmaları önerilmektedir. Aynı zamanda, Docker gibi sistemlerin doğru şekilde yapılandırılması ve güvenlik güncellemelerinin takip edilmesi, bu tür siber tehditlere karşı etkili bir savunma mekanizması sağlayacaktır. Özellikle, açık API’lerin kapatılması veya uygun güvenlik önlemlerinin alınması, bu tür zararlı yazılımların yayılmasını minimize edecektir.
