Contenedores mal configurados nuevamente dirigidos por …



Un grupo de ataque busca contenedores inseguros que exponen la API de Docker y luego instala un programa que intenta extraer criptomonedas. No es la primera vez

Los atacantes están buscando contenedores que expongan un puerto mal configurado para que la API de Docker agregue otro contenedor para hacer sus ofertas y ejecute código malicioso para extraer criptomonedas, afirmó la firma de seguridad de contenedores Aqua Safety en un aviso del 3 de abril.

La campaña parece apuntar a contenedores que permiten que los comandos de Docker se ejecuten sin autenticación, con, en algunos casos, más de cien escaneos dirigidos a cada dirección IP en Web todos los días. Una búsqueda usando el servicio de escaneo de puertos Shodan reveló que unas 6,000 direcciones IP pueden tener instalaciones vulnerables de Docker, dice Idan Revivo, jefe de investigación de seguridad cibernética para Aqua Security.

«No podemos decir de esas 6,000 imágenes cuántas están infectadas con seguridad, pero podemos ver en los volúmenes que este es un ataque muy agresivo», dice. «Alguien está haciendo un gran esfuerzo para escanear Online diariamente, y tal vez cada hora».

Las instancias de Docker que tienen un puerto desprotegido se usan para crear instancias de un contenedor que ejecuta Ubuntu Linux, instalar una utilidad de descarga y luego ejecutar un programa de 600 líneas escrito en el lenguaje de programación Go. La secuencia de comandos intenta desactivar la seguridad, detener los criptomineros de la competencia y descargar el criptominer malicioso conocido como «Kinsing».

El malware Kinsing es el último ataque contra contenedores Docker no seguros y mal configurados. En octubre, otro ataque, denominado Graboid, utilizó un ataque similar para descargar imágenes maliciosas del Docker Hub. Las imágenes ejecutarían un criptominer para intentar generar criptomonedas Monero para el atacante.

El ataque de Kinsing es posiblemente un intento más sofisticado de convertir grupos de contenedores en granjas de servidores de criptominería. Uno de los scripts descargados por el malware Kinsing incluye la capacidad de buscar contenedores potencialmente vulnerables en la misma red Docker. El programa analiza el historial pasado de comandos, una lista de otras computadoras confiables y en otros archivos para identificar objetivos en la crimson del contenedor true.

«Utilizando la información recopilada, el malware intenta conectarse a cada host, utilizando todas las combinaciones posibles de usuarios y teclas a través de SSH, para descargar el script de shell mencionado anteriormente y ejecutar el malware en otros hosts o contenedores en la red», dijo Gal Singer. , investigador de seguridad de Aqua Protection, dicho en el análisis de la compañía.

Si bien los ataques no intentan eliminar datos o dañar los sistemas de las víctimas, sí consumen una gran cantidad de poder de cómputo, aumentando la factura del propietario del grupo de contenedores.

A diferencia de Graboid, que descargó una imagen maliciosa hecha a medida, Kinsing descarga una imagen de Ubuntu Linux para eludir las listas negras básicas que de otro modo podrían bloquear la creación de una imagen maliciosa como contenedor.

«Algunas compañías están haciendo listas negras y listas blancas de imágenes, y Ubuntu y Alpine (Linux) son las dos imágenes más comunes», dice Revivo. «Por lo tanto, al usar una imagen que está en la lista blanca para obtener la carga útil, están trabajando en torno a la seguridad».

Actualmente se utilizan tres direcciones IP diferentes como parte del ataque.

Aqua Safety recomienda que los administradores de la nube y los equipos de DevSecOps identifiquen y revisen sus recursos en la nube, utilizando pruebas automatizadas para evitar configuraciones incorrectas e investigando los registros en busca de anomalías. Como parte de su análisis, la compañía mapeó los diferentes componentes del ataque en el marco MITER ATT & CK, un catálogo de técnicas utilizadas por los atacantes durante sus operaciones.

«Este ataque se destaca como otro ejemplo de la creciente amenaza para los entornos nativos de la nube», declaró Singer en el aviso. «Con los despliegues cada vez más grandes y el uso de contenedores en aumento, los atacantes están mejorando su juego y organizando ataques más ambiciosos, con un nivel creciente de sofisticación».

contenido relacionado

Revisa El borde, La nueva sección de Dark Studying para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Este no es el ransomware de tu padre«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Looking through, MIT&#39s Know-how Evaluation, Common Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más ideas





Enlace a la noticia primary