犯罪分子正在将合法的云监控工具用作后门

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

以色列安全公司 Intezer 在本周二发布分析文章指出,此前攻击 Docker  Kubernetes 云环境的犯罪分子已开始将合法的云监控工具用作后门,执行恶意攻击。

Intezer 公司指出,“就我们所知,这是攻击者首次使用合法的第三方软件攻击云基础设施。”这款第三方软件是 Weave Scope,用作 Docker 和 K8s 服务的可视化和监控工具。威胁组织 TeamTNT 不仅映射了其受害者的云环境,而且还在无需直接在目标服务器上部署恶意代码的前提下执行系统命令。

TeamTNT 至少活跃于今年4月末,针对配置不当的 Docker 端口发动攻击,安装密币挖掘恶意软件和一个分布式拒绝服务僵尸。

上个月,该团伙更新运营模式,通过扫描受感染的 Docker 和 K8s 系统提取 AWS 登录凭证,查找存储在 AWS 凭据和配置文件中的敏感信息。他们获得立足点的方法并未改变,不过获得对受感染主机基础设施本身的控制方法发生了改变。

攻击者入侵后,会设立一个具有清洁 Ubuntu 镜像的新的权限容器,用于下载并执行挖矿机、通过创建一个本地权限用户“hilde”获得 root 访问权限,通过 SSH 连接到服务器,并最终安装 Weave Scope。

Intezer 公司的研究员 Nicole Fishbein 指出,“通过安装合法工具如Weave Scope,攻击者能够收割所有的好处,就如同在服务器上安装了后门,大大减少了精力投入而且无需使用恶意软件。”

尽管 TeamTNT 的最终目标似乎是通过挖矿生财,但很多团伙选择部署密币劫持蠕虫攻陷企业系统,部分原因在于企业系统存在被暴露的 API 端点,使其成为犯罪分子的目标。

建议将 Docker API 端点的访问权限进行限制,阻止攻击者控制服务器。Intezer 公司指出,“Weave Scope 使用默认端口4040使仪表盘可访问,且任何能够访问网络的人员均可查看仪表盘。和 Docker API 端口类似,该端口应通过防火墙被关闭或限制。”

推荐阅读

德国警方突袭合法的远程管理工具 OmniRAT 的开发者并没收数字资产

利用合法代码开发的工控恶意软件 Triton

APT28 被指劫持合法 LoJack 软件

原文链接

https://thehackernews.com/2020/09/cloud-monitoring.html

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 吧~

你可能感兴趣的:(docker,运维,linux,nginx,安全)