欧洲冠军联赛客户端首页-近几年袭击者行使Docker API的舛误设置举行袭击
你的位置:欧洲冠军联赛客户端首页 > 地区报价 > 近几年袭击者行使Docker API的舛误设置举行袭击
近几年袭击者行使Docker API的舛误设置举行袭击
发布日期:2022-08-07 10:58    点击次数:146

自2019年以来,实行文件加密的网络袭击流动迎面的黑客团伙逐渐浮出了水面。研究人员说,这些袭击流动都行使了动作举措上设置舛误的Docker APIs,这使得他们兴许获取外部网络的入口,并终究在被袭击的主机上按部就班后门,尔后掘客加密钱银。

该袭击技能是基于脚本举行的,该袭击编制被称为 "Autom",因为它行使了文件 "autom.sh"。Aquasec研究局部在周三揭橥的一份报告中写道,该袭击流动在生动期间时,袭击者一贯在滥用API的舛误设置,然则其运用的规避计策各不沟通。

研究人员说,自2019年以来,袭击者对Nautilus团队设置的蜜罐举行了84次袭击,个中2019年有22次,2020年有58次,2021年在研究人员10月起头撰写报告前有4次袭击。研究人员还报告说,痛处Shodan征采,今年对蜜罐的袭击数量分明削减,然则针对设置舛误的Docker API举行袭击的总体趋势并无削减。

他们写道:"对我们蜜罐的袭击次数的削减,兴许意味着袭击者已经识别进去了他们,因而在2021年就削减了他们的袭击量。"

研究人员说,诚然袭击者在袭击的载体中运用了沟通的袭击编制来完成他们的目标—对文件举行加密,这么多年以来袭击的最大变换就是利诱者在接续演化出新的规避检测手段。

他们在报告中写道:"我们经由过程袭击者的规避检测的技能看到了袭击团伙的技能提高。”

他们说,袭击者自袭击流动起头以来运用了五个差别的服务器来下载启动袭击的shell脚本。研究人员写道:"看来,网络袭击迎面的团体已经提升了他们的袭击技能,扩大了袭击面来举行他们的袭击"。

网络袭击阐发

他们在报告中说,Nautilus团队在2019年终度窥察到了这类袭击,事先在运行一个植物的图像时执行了一条恶意敕令,该图像下载了一个名为autom.sh的shell脚本。研究人员说明说,袭击者平日会运用该图像和恶意敕令来执行袭击,因为大大都构造都信任这些图像并准许运用它们。

他们写道,袭击者一贯运用沟通的袭击切入点,尔后在一个近程服务器长举行执行,征采含有马脚的主机,尔先行使设置舛误的Docker APIs举行袭击。

尔后他们运行vanilla镜像和别的的恶意shell,经由过程这两种编制创立一个用户--adduser(经由过程设置账户的主文件夹和别的设置来增加用户)和useradd(用于增加用户的低级敕令),地区报价其用户名字为akay。

因为新创立的用户没有特权,利诱者经由过程运用 "sudo "敕令来提升权限,尔后将其变成一个root用户,回收有限的权限来运行任何sudoers文件。研究人员写道,这改变了sudo在目标古板上的事变编制,根抵上可使袭击者成为超级用户。

尔后,袭击者会运用域名icanhazip[.com]获取被袭击主机的民众IP地点,并从服务器上删除下载的文件。研究人员写道,经由过程这一系列的操作,袭击者告成按部就班了一个后门,使得他们在被袭击主机上获患有权限的速决性,如容许以隐秘地掘客加密钱银。

规避安好查抄

研究人员说,诚然袭击者自Autom起头袭击流动之后,险些没有改变他们入侵受害者古板并完成速决性的编制,但他们却改变了两件事--下载shell脚本autom.sh的服务器,以及具体的规避战术。

关于后一点,Nautilus团队窥察到该袭击流动从2019年没有运用潜匿其袭击动作的技能倒退到在接上去的两年里增加了加倍宏壮的隐秘战术。

2020年,他们禁用了一些安好机制来确保其隐秘性,蕴含ufw(非宏壮防火墙),它兴许准许或推卸用户对某项服务举行拜访,以及NMI(非屏障中缀),它是最高优先级的中缀,平日发生在不成光复的硬件舛误旗子灯号中,还可以或许用于监测体系的复位。

研究人员说,今年,袭击者还增加了一种新的袭击技能,经由过程从近程服务器下载一个混合的shell剧原本潜匿加密袭击流动。

他们写道:"他们对脚本举行了五次base64编码,如容许以预防安好器材读取它并相识其迎面的意图。该脚本理论上是用来挖矿的恶意脚本"。

研究人员增补说,在袭击的进程中增加了别的的功用蕴含下载log_rotate.bin脚本,该脚本创立了一个新的cron 使命来启动加密开采流动,该cron job将在被袭击的主机上每55分钟启动一次。

他们指出:"Autom的袭击流动评释,袭击者的袭击编制正在变得越来越宏壮,接续的改进他们的袭击技能来防止被安好经管规划缔造的兴许性。”

本文翻译自:https://threatpost.com/cryptomining-attack-exploits-docker-api-misconfiguration-since-2019/177299/如若转载,请注明原文地点。

 



相关资讯