Cyberbedrohungen
Mining mittels Docker Control API und Community Image
Über die Datenanalyse aus Container-Honeypots auf dem Docker Hub, die die Sicherheitsforscher von Trend Micro aufgesetzt hatten, stellten sie erhebliche Aktivitäten von nicht autorisierten Kryptowährungs-Minern fest.
Originalbeitrag von Alfredo Oliveira, Senior Threat Researcher
Über die Datenanalyse der Container-Honeypots, die die Sicherheitsforscher von Trend Micro aufgesetzt hatten, stellten sie erhebliche Aktivitäten von nicht autorisierten Kryptowährungs-Minern fest. Die Honeypots bestehen aus von der Community-unterstützten Container Images auf dem Docker Hub und sind standardmäßig aufgesetzt, ohne zusätzliche Sicherheitssoftware. Das Ziel ist, Angriffe anzuziehen, die die Container-Plattform selbst und nicht die Anwendungen treffen.
Das Image wurde von einem bösartigen Service ausgenutzt, der diese Miner ausliefert. Auch wurden Netzwerk-Tools eingesetzt, die laterale Bewegungen auf anderen exponierten Containern und Anwendungen durchführen sollten. Die entdeckten Aktivitäten sind auch deshalb bemerkenswert, weil sie für Angriffe keine Sicherheitslücken nutzen müssen und auch nicht von einer Docker-Version abhängig sind. Einem Angreifer genügt es, eine schlecht konfigurierte und damit exponierte Container-Image zu finden, um viele exponierte Hosts zu infizieren.
Ein exponiertes Docker API ermöglicht es einem böswilligen Nutzer, vielfältige Befehle auszuführen, so etwa die laufenden Container aufzulisten, Logs von bestimmten Containern aufzurufen, einen Container zu starten, stoppen oder gar zu killen sowie einen neuen zu erstellen mit einem bestimmten Image und bestimmten Optionen.
Die erneute Shodan-Abfrage zeigte, dass die Zahl der exponierten Docker APIs seit der letzten Untersuchung von schlecht konfigurierten und ausgenutzten Container zugenommen hatte auf 3.762. Noch im Oktober 2018 waren es lediglich 856.
Die Analyse der Honeypot-Logs zeigte des Weiteren, dass die Nutzung der Container Image auch den Missbrauch von ngrok mit sich brachte, einem Tool, das für das Zustandekommen sicherer Verbindungen oder Relay-Verkehrs von öffentlich zugänglichen Endpunkten zu bestimmten Adressen oder Ressourcen (z.B. einem Localhost) verwendet wird. Damit können Angreifer dynamisch URLs erstellen für die Ablage von Payloads auf einem exponierten Host. Weitere technische Einzelheiten umfasst der Originalbeitrag.
Empfehlungen
Fehlkonfigurationen sind eine ständige Gefahr für Unternehmen, vor allem für diejenigen, die DevOps einsetzen für schnelle Entwicklung und Bereitstellung. Gefragt ist Security by Design. Dies schließt auch die folgenden Empfehlungen mit ein:
- Systemadministratoren und Entwickler sollten immer die Konfiguration des APIs prüfen und sicherstellen, dass es lediglich von einem bestimmten Host oder internen Netzwerk Anfragen annimmt.
- Implementieren des Prinzips der geringsten Privilegien: Es muss sichergestellt sein, dass Container Images signiert und authentifiziert sind, der Zugriff auf kritische Komponenten (wie etwa der Daemon-Service, der den Ablauf des Containers unterstützt) eingeschränkt und die Netzwerkverbindungen verschlüsselt werden.
- Administratoren müssen Best Practices befolgen und Sicherheitsmechanismen einsetzen, wie etwa Dockers eigene Guidelines und mitgelieferte Sicherheitsfähigkeiten.
- Einsetzen von automatisiertem Runtime- und Image-Scanning, um mehr Einsichten in die Prozesse des Containers zu erhalten (und festzustellen, ob sie manipuliert wurden oder Schwachstellen enthalten). Applikationskontrolle und Integritätsmonitoring tragen ebenfalls dazu bei, verdächtige Veränderungen auf Servern, in Dateien oder Systemen zu erkennen.
Trend Micro unterstützt DevOps Teams mit Hybrid Cloud Security dabei, ihre Arbeit effizient und sicher durchzuführen. Die Lösung liefert funktionsstarke, automatisierte und schlanke Sicherheit innerhalb der DevOps-Pipeline und wird von mehreren XGen™ Threat Defense-Techniken unterstützt.