Istraživači Cado Security-a otkrili su novu kampanju koja cilja ranjive Docker servere, postavljajući dva kontejnera – običan XMRig rudar i aplikaciju 9hits viewer. Ovo je prvi dokumentovani slučaj malvera koji koristi aplikaciju 9Hits Traffic Exchange viewer kao payload.
Za vašu informaciju, 9hits je platforma na kojoj članovi kupuju kredite za promet generisan na njihovoj web stranici i mogu pokrenuti aplikaciju za gledanje kako bi posjetili tražene web stranice u zamjenu za kredite.
Istraživači sumnjaju da su napadači otkrili honeypot putem Shodana ili slične usluge, jer njihova IP adresa nije uključena u uobičajene baze podataka o zloupotrebama ili možda koriste drugi server za skeniranje.
Dalje ispitivanje je otkrilo da napadač vjerovatno koristi skriptu za postavljanje varijable DOCKER_HOST i pokretanje redovnog CLI-a da kompromituje server. Oni preuzimaju gotove slike sa Dockerhub-a za svoj 9hits i XMRig softver, uobičajeni vektor napada za kampanje koje ciljaju Docker.
Uopšteno, napadači koriste generičku sliku Alpine kako bi izbili iz kontejnera i pokrenuli malver na hostu. U ovoj kampanji, međutim, ne pokušavaju izaći iz kontejnera i pokrenuti ga s unaprijed određenim argumentom.
Širilac pokreće infekciju koristeći prilagođenu naredbu za pozivanje Docker kontejnera, uključujući identifikatore konfiguracije/sesije. Proces nh.sh je ulazna tačka, a nakon što napadač doda svoj token sesije, dozvoljava aplikaciji 9hits da se autentifikuje sa njihovim serverima i preuzima listu sajtova koje treba posjetiti. Nakon što aplikacija posjeti stranicu, vlasnik tokena sesije dobija kredit na platformi 9hits.
Vrijedi napomenuti da je sistem tokena sesije dizajniran da radi u nepouzdanim kontekstima, dozvoljavajući aplikaciji da se pokreće u nelegitimnim kampanjama bez rizika od kompromitovanja naloga napadača.
9hits, Chrome headless aplikacija, koristi se za posjećivanje raznih web stranica, uključujući web stranice za odrasle i iskačuće stranice. U 2017. Chrome 59 je uveo Headless način rada, omogućavajući korisnicima da pokreću pretraživač u okruženju bez nadzora i bez vidljivog korisničkog interfejsa, što ga čini popularnim za automatizaciju pretraživača s projektima kao što su Puppeteer ili ChromeDriver.
Prema postu na blogu Cado Security -a, zanimljivo je da je napadač onemogućio mogućnost aplikacije da posjećuje stranice povezane s kriptovalutom. Opcija -o u XMRig implementacijama precizira mining pool, obično javni pool sa adresom novčanika vlasnika, ali u ovom slučaju se čini privatnim, sprečavajući analizu statistike kampanje.
Nadalje, kao što se vidi na slici ispod, dscloud domen se koristi za dinamički DNS, koji Synology server ažurira sa IP-om napadača. Adresa se razrešava na 2736.82.56, istu IP adresu koja je zarazila honeypot.
Izloženost Docker hostovima ostaje uobičajeni ulazni vektor za napadače, naglašavajući važnost održavanja sigurnosti sistema kako bi se spriječilo zlonamjerno korištenje sistema. Kampanja značajno utiče na kompromitovane hostove tako što iscrpljuje CPU resurse, uzrokujući neuspjeh legitimnih payload-a.
Osim toga, potencijalno bi mogao ostaviti udaljeni shell na sistemu, uzrokujući ozbiljniji proboj. Ovo naglašava stalni trend napadača koji traže nove strategije za iskorištavanje kompromitovanih hostova.
Izvor: Hackread