Хакери се кријат зад Tor при пробивање на изложени Docker API

Актер на закана што таргетира изложени Docker API-и го надградил својот малициозен арсенал со поопасна функционалност што може да постави темел за сложена бот-мрежа (botnet).

Оваа активност првпат беше пријавена во јуни од страна на компанијата за сајбер-безбедност Trend Micro, чии истражувачи анализираа скрипти и малициозен код што инсталирал крипто-рудар и се потпирал на Tor мрежата за да ја сокрие нивната идентификација.

Истражувачи од Akamai открија нов алат кој, наместо да инсталира рудар, презема посложен малициозен код што може да го блокира пристапот до компромитираните Docker API-и.

Синџир на инфекција

Напаѓачите бараат изложен Docker API (порт 2375) на ранливи системи и испраќаат барање за креирање контејнер користејќи модифицирана верзија на Alpine Linux слика што содржи base64-кодиран shell-команден ред.

Контејнерот ја извршува декодираната команда, која инсталира curl и tor, стартува Tor демонот во позадина, и чека потврда за поврзување преку пристап до checkip.amazonaws.com сервисот преку SOCKS5 прокси.

Штом Tor е активен, контејнерот симнува и извршува скрипта од втора фаза (docker-init.sh) од скриена Tor услуга користејќи curl.

Скриптата docker-init.sh овозможува постојан SSH пристап така што додава јавен клуч под контрола на напаѓачот во /root/.ssh/authorized_keys на монтираниот хост систем.

Потоа, скриптата запишува base64-кодиран cron-задача на хостот, кој се извршува секоја минута и блокира надворешен пристап до портата 2375 користејќи достапна firewall алатка (iptables, nftables, ufw и сл.).

Дополнително, се инсталираат алатки како masscan, zstd, libpcap, и torsocks за поддршка на скенирање, ширење и избегнување на детекција.

Понатаму, малициозниот код симнува Go бинарна датотека компресирана со Zstandard (system-linux-ARCH.zst) преку Tor, ја декомпресира во /tmp/system, ѝ дава дозволи за извршување и ја стартува.

Оваа Go бинарна датотека функционира како dropper, која извлекува и извршува вградена бинарна датотека од втора фаза, и го анализира utmp фајлот на хостот за да ги идентификува најавените корисници.

Однесување на градење бот-мрежа

Бинарната датотека скенира за други изложени Docker API-и, се обидува да ги инфицира користејќи ја истата техника со создавање контејнери, и ги брише контејнерите на конкуренцијата откако ќе добие пристап.

Овој механизам за саморепликација е клучна карактеристика на агенти за бот-мрежи, кои обично инфицираат нови системи автоматски, без потреба од надворешни команди.

Akamai посочува присуство на неактивна логика за експлоатација на Telnet (порт 23) користејќи стандардни лозинки за рутери, како и логика за интеракција со интерфејсот за далечинско дебагирање на Chrome (порт 9222).

Ова укажува на можни идни проширувања со функции за кражба на лозинки, преземање на сесии од прелистувачи, далечинско симнување на фајлови, и распределени одбивања на услуга (DDoS) напади.

„Некои од основните механизми нè наведуваат да веруваме дека оваа варијанта е почетна верзија на една сложена бот-мрежа,“ велат истражувачите од Akamai, додавајќи дека „сè уште не сме пронашле целосна верзија од неа.“

Откритието на Akamai покажува еволуција од опортунистичка експлоатација на Docker во мултивекторска закана со капацитет за латерално движење, упорност, и (засега неактивни) можности за кражба на податоци и хакирање на прелистувачи.

Извори:

• BleepingComputer – „Hackers hide behind Tor in exposed Docker API breaches“.Bleeping Computer