Ausnutzung von Schwachstellen
Mit Krypto-Mining infizierte Docker Hosts im Visier
Sicherheitsforscher von Trend Micro haben einen Honeypot aufgesetzt, der einen Docker-Host mit exponiertem API simulierte. Tatsächlich fanden sie nach einiger Zeit ein Image oder Snapshot eines Containers in ihrem Honeypot.
Originalartikel von Alfredo Oliveira, Senior Threat Researcher
Sicherheitsforscher von Trend Micro haben einen Honeypot aufgesetzt, der einen Docker-Host mit exponiertem API simulierte – eines der von Container-basierten Bedrohungen am meisten anvisierten Ziele. Sie wollten beobachten, ob unerwünschte Container darauf installiert werden und unter Umständen erfolgte bösartigen Aktivitäten an ihre Quelle zurückverfolgen. Und tatsächlich fanden sie nach einiger Zeit ein Image oder Snapshot eines Containers in ihrem Honeypot.
Aus der Analyse der Logs und der Verkehrsdaten in Richtung zum und vom Honeypot her konnten die Forscher darauf schließen, dass der Container aus dem öffentlichen (und damit zugänglichen) Docker Hub Repository zoolu2 stammte. Er umfasste neun Images in selbst erstellten Shells, Python Skripts, Konfigurationsdateien sowie Shodan und Kryptowährungs-Mining Binaries. Docker hat das Repository inzwischen entfernt.
Alle Images beinhalteten ein Binary eines Monero (XMR) Krypto-Miners. Zusätzlich enthielten einige ein Shodan-Skript, das Docker Hosts mit exponierten APIs auflistete, vermutlich um geeignete Ziele ausfindig zu machen.
Weitere technische Details liefert der Originalbeitrag.
Empfehlungen und Lösungen
Die zunehmende Verbreitung von Containern hat leider auch zu mehr diesbezüglichen Bedrohungen geführt. Die Angriffe sind häufig erfolgreich, nicht nur aufgrund der Ausnutzung von Sicherheitslücken in der Container-Software sondern auch wegen der vorkommenden Fehlkonfigurationen. Die Hosts mit exponierten APIs können auch zur weiteren Verbreitung von infizierten Containern beitragen.
Unerwünschte Kryptowährungs-Mining-Aktivitäten führen zu einer zusätzlichen Ressourcenbelastung der Zielsysteme. Nutzt der Docker-Host zudem einen Cloud-Service-Provider, so kann dies mehr Kosten führen wegen des höheren Ressourcenverbrauchs. Trend Micro empfiehlt die folgenden Best Practices, um Container vor dieser Art der Bedrohung zu schützen:
- Container und APIs sollten immer entsprechend konfiguriert sein, um die Angriffsfläche zu minimieren. Dazu gehört es sicherzustellen, dass sie nur aus dem internen Netzwerk oder von vertrauenswürdigen Quellen aus zugänglich sind. Docker hat darüber hinaus spezifische Leitfäden dazu, wie Anwender ihre Sicherheit verbessern können.
- Docker empfiehlt, stets offizielle oder zertifizierte Images zu verwenden, um zu gewährleisten, dass nur vertrauenswürdige Inhalte in der Umgebung laufen.
- Container sollten nie mit Root-Berechtigungen laufen, sondern nur als Anwendungsnutzer.
Auch der Einsatz umfassender Sicherheitssoftware, die die sichere Entwicklung, schnelle Bereitstellung und standortunabhängigen Betrieb unterstützt, ist dringend zu empfehlen. Trend Micro-Lösungen verbessern über Deep Security und Deep Security Smart Check den Schutz für Container. Die Lösung scannt in der Entwicklungs-Pipeline regelmäßig Container-Images auf Malware und Sicherheitslücken, um schon vor der Bereitstellung Bedrohungen zu verhindern.
Indicators of Compromise (IoCs) beinhaltet der Originalbeitrag.