0
0
Um aparente erro de segurança operacional de um membro do grupo de ameaças TeamTNT expôs algumas das táticas que ele está usando para explorar servidores Docker mal configurados.
Pesquisadores de segurança da Trend Micro recentemente criaram um honeypot com uma API REST do Docker exposta para tentar entender como os agentes de ameaças em geral estão explorando vulnerabilidades e configurações incorretas na plataforma de contêiner de nuvem amplamente usada. Eles descobriram o TeamTNT – um grupo conhecido por suas campanhas específicas de nuvem – fazendo pelo menos três tentativas de explorar seu honeypot do Docker.
“Em um de nossos honeypots, expusemos intencionalmente um servidor com o Docker Daemon exposto por meio da API REST”, diz Nitesh Surana, engenheiro de pesquisa de ameaças da Trend Micro. “Os agentes de ameaças encontraram a configuração incorreta e a exploraram três vezes de IPs baseados na Alemanha, onde estavam conectados ao registro do DockerHub”, diz Surana. “Com base em nossa observação, a motivação do invasor era explorar a API REST do Docker e comprometer o servidor subjacente para realizar o cryptojacking”.
A análise do fornecedor de segurança da atividade acabou levando à descoberta de credenciais para pelo menos duas contas do DockerHub que o TeamTNT controlava (o grupo estava abusando dos serviços gratuitos do Container Registry do DockerHub) e estava usando para distribuir uma variedade de cargas maliciosas, incluindo mineradores de moedas.
Uma das contas (com o nome “alpineos”) hospedava uma imagem de contêiner malicioso contendo rootkits, kits para escape de contêiner do Docker, o minerador de moedas XMRig Monero, ladrões de credenciais e kits de exploração Kubernetes.
A Trend Micro descobriu que a imagem maliciosa foi baixada mais de 150.000 vezes, o que pode se traduzir em uma ampla gama de infecções.
A outra conta (sandeep078) hospedou uma imagem de contêiner malicioso semelhante, mas teve muito menos “puxadas” – apenas cerca de 200 – em comparação com a anterior. A Trend Micro apontou três cenários que provavelmente resultaram no vazamento das credenciais da conta de registro do TeamTNT Docker. Isso inclui uma falha ao sair da conta do DockerHub ou a autoinfecção de suas máquinas.
Imagens maliciosas de contêiner de nuvem: um recurso útil
Os desenvolvedores geralmente expõem o daemon do Docker por meio de sua API REST para que possam criar contêineres e executar comandos do Docker em servidores remotos. No entanto, se os servidores remotos não estiverem configurados adequadamente – por exemplo, tornando-os acessíveis ao público – os invasores podem explorar os servidores, diz Surana.
Nesses casos, os agentes de ameaças podem ativar um contêiner no servidor comprometido a partir de imagens que executam scripts maliciosos. Normalmente, essas imagens maliciosas são hospedadas em registros de contêiner, como DockerHub, Amazon Elastic Container Registry (ECR) e Alibaba Container Registry. Os invasores podem usar contas comprometidas nesses registros para hospedar as imagens maliciosas ou podem estabelecer suas próprias, observou a Trend Micro anteriormente. Os invasores também podem hospedar imagens maliciosas em seu próprio registro de contêiner privado.
Os contêineres criados a partir de uma imagem maliciosa podem ser usados para uma variedade de atividades maliciosas, observa Surana. “Quando um servidor que executa o Docker tem seu Docker Daemon exposto publicamente pela API REST, um invasor pode abusar e criar contêineres no host com base em imagens controladas pelo invasor”, diz ele.
Uma infinidade de opções de carga útil do invasor cibernético
Essas imagens podem conter cryptominers, kits de exploração, ferramentas de escape de contêiner, rede e ferramentas de enumeração. “Os invasores podem realizar cripto-jacking, negação de serviço, movimento lateral, escalação de privilégios e outras técnicas dentro do ambiente usando esses contêineres”, de acordo com a análise.
“Ferramentas centradas no desenvolvedor, como o Docker, são conhecidas por serem abusadas extensivamente. É importante educar [desenvolvedores] em geral criando políticas para acesso e uso de credenciais, bem como gerar modelos de ameaças de seus ambientes”, defende Surana.
As organizações também devem garantir que os contêineres e as APIs estejam sempre configurados corretamente para garantir que as explorações sejam minimizadas. Isso inclui garantir que eles sejam acessíveis apenas pela rede interna ou por fontes confiáveis. Além disso, eles devem seguir as diretrizes do Docker para fortalecer a segurança. “Com o número crescente de pacotes maliciosos de código aberto direcionados a credenciais de usuários”, diz Surana, “os usuários devem evitar armazenar credenciais em arquivos. Em vez disso, eles são aconselhados a escolher ferramentas como armazenamento de credenciais e auxiliares”.
FONTE: DARK READING