Siber suçlular, perfctl kötü amaçlı yazılımını dağıtmak için giderek daha fazla açıkta kalan Docker Remote API sunucularını hedef alıyor ve konteynerli ortamlara bağımlı kuruluşlar için önemli tehditler oluşturuyor.

Bu saldırılar, Docker yapılandırmalarındaki güvenlik açıklarından yararlanarak yapılandırılmış bir araştırma dizisini, kapsayıcı oluşturmayı ve yük yürütmeyi içerir.

Trend Micro, saldırının bilgisayar korsanlarının savunmasız Docker Remote API sunucularını bulmak için ping istekleri göndermesiyle başladığını gözlemliyor. Saldırganlar tespit edildikten sonra, daha fazla istismarı kolaylaştırmak için tasarlanmış belirli ayarları kullanarak bir Docker konteyneri oluşturmaya devam ediyor.

Örneğin “ubuntu:mantic-20240405” görüntüsünden “pid mode: host” ile ayrıcalıklı modda yapılandırılan “kube-edagent” adlı bir konteyner oluşturulur.

Bu yapılandırma, konteynerin ana bilgisayarın İşlem Kimliği (PID) ad alanını paylaşmasına olanak tanıyarak saldırganlara ana bilgisayar işlemleri üzerinde görünürlük ve kontrol sağlar.

Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here 

Yük Yürütme Docker’da

Saldırganlar, konteyneri başarıyla oluşturduktan sonra Docker Exec API’yi kullanarak Base64 kodlu bir veriyi çalıştırıyor.

Yük, yükseltilmiş ayrıcalıklar elde etmek için ana bilgisayarın ad alanlarını hedefleyerek “nsenter” komutu aracılığıyla konteyner ortamından kaçarak başlatılır. Kodu çözülen komut dosyası birkaç kötü amaçlı eylem gerçekleştirir:

Süreç Yönetimi: Algılanmayı önlemek için yinelenen işlemleri kontrol eder ve “/tmp” dizininde “kubeupd” adlı bir bash betiği oluşturarak ortam değişkenlerini saldırganın altyapısına göre ayarlar.

Kötü Amaçlı İkili Dağıtım: Betik, PHP uzantısı gibi görünen kötü amaçlı bir ikili dosya indirerek dosya uzantılarına göre tespit edilmesini zorlaştırıyor.

İkili dosya belirli kriterleri karşılıyorsa sistem ayarlarını değiştirmeye, ortam değişkenlerini güncellemeye, arka planda başka kötü amaçlı komutlar yürütmeye ve Trend Micro raporunu okumaya devam eder.

Kalıcılık Mekanizması: Kötü amaçlı yazılım, erişimi sürdürmek için bir systemd hizmeti veya bir cron işi oluşturarak kalıcılık sağlar ve kötü amaçlı süreçlerin sistem yeniden başlatıldığında hayatta kalmasını ve aktif kalmasını sağlar.

Son olaylar, Docker Remote API sunucularından yararlanmanın ciddiyetini ortaya koyuyor. Dikkate değer bir durumda, kimliği belirsiz bir tehdit aktörü, açıklanan yöntemi kullanarak bir kripto para madencisini devreye soktu.

Saldırgan, ayrıcalıklı konteyner ayarlarından ve karmaşık yüklerden yararlanarak ana sisteme sızmayı, kaynaklarını kötü amaçlı faaliyetler için kullanmayı ve çeşitli gizleme teknikleriyle tespit edilmekten kurtulmayı başardı.

Trafiğin yeniden yönlendirilmesi için Tor gibi araçların kullanılması, kötü amaçlı yazılımla ilişkili ağ trafiğine Tor geçiş düğümlerinin dahil edilmesinde görüldüğü gibi, tespit ve ilişkilendirmeyi daha da karmaşık hale getirir.

Bu düzeydeki karmaşıklık, konteynerli ortamlara yönelik hedefli saldırıların giderek artan bir eğilimine işaret ediyor ve sağlam güvenlik önlemlerine duyulan ihtiyacı vurguluyor.

Önleme ve Öneriler

Açıkta kalan Docker Remote API sunucularıyla ilişkili riskleri azaltmak için kuruluşların aşağıdaki güvenlik önlemlerini uygulaması gerekir:

Güvenli Erişim Kontrolleri: Güçlü kimlik doğrulama mekanizmalarını zorunlu kılın ve Docker Remote API sunucularına erişimi yalnızca yetkili personelle kısıtlayın. Bu API’leri uygun güvenlik önlemleri olmadan halka açık internete açmaktan kaçının.

Düzenli İzleme: Docker ortamlarını olağandışı etkinliklere veya yetkisiz erişim girişimlerine karşı sürekli olarak izleyin. Potansiyel tehditleri anında tespit etmek ve bunlara yanıt vermek için izinsiz giriş tespit sistemlerini uygulayın.

Konteyner Güvenliği En İyi Uygulamaları: Konteynerleri ayrıcalıklı modda çalıştırmaktan kaçının ve dağıtımdan önce konteyner görüntülerini ve yapılandırmalarını dikkatle inceleyin. Saldırı yüzeyini en aza indirmek için en az ayrıcalık ilkelerini kullanın.

Güncel Kalın: Bilinen güvenlik açıklarına karşı koruma sağlamak için Docker’ı ve ilgili yazılımı en son güvenlik yamalarıyla güncel tutun. Gelişen tehdit ortamlarına uyum sağlamak için güvenlik politikalarını düzenli olarak gözden geçirin ve güncelleyin.

Çalışan Eğitimi: Potansiyel tehditlere karşı hazırlıklı olmak için Docker ortamlarını yönetmekten sorumlu personeli en iyi güvenlik uygulamaları ve ortaya çıkan saldırı vektörleri konusunda eğitin ve eğitin.

Açıkta kalan Docker Remote API sunucularının mükemmel kötü amaçlı yazılımları dağıtmak için kullanılması, konteynerli altyapılarda gelişmiş güvenliğe yönelik kritik ihtiyacın altını çiziyor.

Saldırı dizilerini anlayarak ve sağlam güvenlik önlemleri uygulayarak kuruluşlar bu tür karmaşık siber saldırıların riskini önemli ölçüde azaltabilir.

Proaktif izleme, sıkı erişim kontrolleri ve en iyi güvenlik uygulamalarına bağlılık, Docker ortamlarının gelişen tehditlere karşı korunmasında çok önemlidir.

Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here

Siber suçlular, perfctl kötü amaçlı yazılımını dağıtmak için giderek daha fazla açıkta kalan Docker Remote API sunucularını hedef alıyor ve konteynerli ortamlara bağımlı kuruluşlar için önemli tehditler oluşturuyor.

Bu saldırılar, Docker yapılandırmalarındaki güvenlik açıklarından yararlanan yapılandırılmış bir araştırma dizisini, kapsayıcı oluşturmayı ve yük yürütmeyi içerir.

Trend Micro, saldırının bilgisayar korsanlarının savunmasız Docker Remote API sunucularını bulmak için ping istekleri göndermesiyle başladığını gözlemliyor. Saldırganlar tespit edildikten sonra, daha fazla istismarı kolaylaştırmak için tasarlanmış belirli ayarları kullanarak bir Docker konteyneri oluşturmaya devam ediyor.

Örneğin “ubuntu:mantic-20240405” görüntüsünden “pid mode: host” ile ayrıcalıklı modda yapılandırılan “kube-edagent” adlı bir konteyner oluşturulur.

Bu yapılandırma, konteynerin ana bilgisayarın İşlem Kimliği (PID) ad alanını paylaşmasına olanak tanıyarak saldırganlara ana bilgisayar işlemleri üzerinde görünürlük ve kontrol sağlar.

Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here 

Yük Yürütme Docker’da

Saldırganlar, konteyneri başarıyla oluşturduktan sonra Docker Exec API’yi kullanarak Base64 kodlu bir veriyi çalıştırıyor.

Yük, yükseltilmiş ayrıcalıklar elde etmek için ana bilgisayarın ad alanlarını hedefleyerek “nsenter” komutu aracılığıyla konteyner ortamından kaçarak başlatılır. Kodu çözülen komut dosyası birkaç kötü amaçlı eylem gerçekleştirir:

Süreç Yönetimi: Algılanmayı önlemek için yinelenen işlemleri kontrol eder ve “/tmp” dizininde “kubeupd” adlı bir bash betiği oluşturarak ortam değişkenlerini saldırganın altyapısına göre ayarlar.

Kötü Amaçlı İkili Dağıtım: Betik, PHP uzantısı gibi görünen kötü amaçlı bir ikili dosya indirerek dosya uzantılarına göre tespit edilmesini zorlaştırıyor.

İkili dosya belirli kriterleri karşılıyorsa sistem ayarlarını değiştirmeye, ortam değişkenlerini güncellemeye, arka planda başka kötü amaçlı komutlar yürütmeye ve Trend Micro raporunu okumaya devam eder.

Kalıcılık Mekanizması: Kötü amaçlı yazılım, erişimi sürdürmek için bir systemd hizmeti veya bir cron işi oluşturarak kalıcılık sağlar ve kötü amaçlı süreçlerin sistem yeniden başlatıldığında hayatta kalmasını ve aktif kalmasını sağlar.

Son olaylar, Docker Remote API sunucularından yararlanmanın ciddiyetini ortaya koyuyor. Dikkate değer bir durumda, kimliği belirsiz bir tehdit aktörü, açıklanan yöntemi kullanarak bir kripto para madencisini devreye soktu.

Saldırgan, ayrıcalıklı kapsayıcı ayarlarından ve karmaşık yüklerden yararlanarak ana sisteme sızmayı, kaynaklarını kötü amaçlı faaliyetler için kullanmayı ve çeşitli gizleme teknikleriyle tespit edilmekten kurtulmayı başardı.

Trafiğin yeniden yönlendirilmesi için Tor gibi araçların kullanılması, kötü amaçlı yazılımla ilişkili ağ trafiğine Tor geçiş düğümlerinin dahil edilmesinde görüldüğü gibi, tespit ve ilişkilendirmeyi daha da karmaşık hale getirir.

Bu düzeydeki karmaşıklık, konteynerli ortamlara yönelik hedefli saldırıların giderek artan bir eğilimine işaret ediyor ve sağlam güvenlik önlemlerine duyulan ihtiyacı vurguluyor.

Önleme ve Öneriler

Açıkta kalan Docker Remote API sunucularıyla ilişkili riskleri azaltmak için kuruluşların aşağıdaki güvenlik önlemlerini uygulaması gerekir:

Güvenli Erişim Kontrolleri: Güçlü kimlik doğrulama mekanizmalarını zorunlu kılın ve Docker Remote API sunucularına erişimi yalnızca yetkili personelle kısıtlayın. Bu API’leri uygun güvenlik önlemleri olmadan halka açık internete açmaktan kaçının.

Düzenli İzleme: Docker ortamlarını olağandışı etkinliklere veya yetkisiz erişim girişimlerine karşı sürekli olarak izleyin. Potansiyel tehditleri anında tespit etmek ve bunlara yanıt vermek için izinsiz giriş tespit sistemlerini uygulayın.

Konteyner Güvenliği En İyi Uygulamaları: Konteynerleri ayrıcalıklı modda çalıştırmaktan kaçının ve dağıtımdan önce konteyner görüntülerini ve yapılandırmalarını dikkatle inceleyin. Saldırı yüzeyini en aza indirmek için en az ayrıcalık ilkelerini kullanın.

Güncel Kalın: Bilinen güvenlik açıklarına karşı koruma sağlamak için Docker’ı ve ilgili yazılımı en son güvenlik yamalarıyla güncel tutun. Gelişen tehdit ortamlarına uyum sağlamak için güvenlik politikalarını düzenli olarak gözden geçirin ve güncelleyin.

Çalışan Eğitimi: Potansiyel tehditlere karşı hazırlıklı olmak için Docker ortamlarını yönetmekten sorumlu personeli en iyi güvenlik uygulamaları ve ortaya çıkan saldırı vektörleri konusunda eğitin ve eğitin.

Açıkta kalan Docker Remote API sunucularının mükemmel kötü amaçlı yazılımları dağıtmak için kullanılması, konteynerli altyapılarda gelişmiş güvenliğe yönelik kritik ihtiyacın altını çiziyor.

Saldırı dizilerini anlayarak ve sağlam güvenlik önlemleri uygulayarak kuruluşlar bu tür karmaşık siber saldırıların riskini önemli ölçüde azaltabilir.

Proaktif izleme, sıkı erişim kontrolleri ve en iyi güvenlik uygulamalarına bağlılık, Docker ortamlarının gelişen tehditlere karşı korunmasında çok önemlidir.

Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here