Gafgyt kötü amaçlı yazılımı (genellikle Bashlite veya Lizkebab olarak anılır), halka açık Docker Remote API sunucularını hedef alarak saldırı kapsamını genişletti.
Bashlite olarak da bilinen Gafgyt kötü amaçlı yazılımı ve Mirai, son yıllarda milyonlarca savunmasız IoT cihazını hedef aldı. Docker Remote API sunucularına saldıran bu kötü amaçlı yazılımın yeni bulgusu, davranışında önemli bir değişikliğe işaret ediyor.
Bu örnekte saldırganlar, kötü amaçlı yazılımı yaymak için meşru bir “alpine” tabanlı bir Docker konteyneri oluşturdu. Liman işçisi görüntü ve herkese açık olarak erişilebilen yanlış yapılandırılmış Docker uzak API sunucularını hedef aldı.
Saldırganlar, Gafgyt kötü amaçlı yazılımını dağıtmanın yanı sıra kurbana bulaşmak için Gafgyt botnet kötü amaçlı yazılımını da kullandı. Saldırgan, konuşlandırıldıktan sonra hedeflenen sunuculara bir DDoS saldırısı başlatabilir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Saldırganlar Açıktaki Docker Remote API Sunucularından Nasıl Yararlanıyor?
Trend Micro, saldırganın başlangıçta Rust tarafından yazılmış, “rbot” adlı Gafgyt botnet ikili dosyasını “alpine” docker görüntüsü aracılığıyla oluşturulan bir Docker kapsayıcısına yüklemeye çalıştığını bildirdi.
Saldırgan, konteynerin kök dizinini “/mnt” ve “Binds” olarak değiştirmek için “chroot”u kullanıyor:[“/:/mnt”] seçenek. Bu komutla saldırgan, ana bilgisayarın kök dizinini (/ 🙂 konteynerin /mnt dizinine bağlar.
Bu komutla konteyner, ana bilgisayarın dosya sistemine sanki kendisinin bir parçasıymış gibi erişebilir ve onu değiştirebilir. Saldırgan bunu yaparak ana makineyi ele geçirebilir ve ayrıcalıklarını artırabilir.
Kötü amaçlı bot, C2 sunucusuyla başarılı bir şekilde iletişim kurduğunda, yanıtı ayrıştırır ve bir DDoS saldırısı gerçekleştirmek için HTTP, TCP ve UDP’yi kullanır.
Saldırgan, konteyner oluşturma isteği başarısız olduktan sonra bir konteyner oluşturamazsa, farklı bir Gafgyt ikili programını kullanarak ancak yine de aynı Alpine Docker görüntüsünü temel alan başka bir konteyner dağıtmaya çalıştı.
Araştırmacılar, kodun, sistemin giden iletişim için hangi yerel IP adresini ve ağ arayüzünü kullanacağına karar vermek için hedef IP olarak Google’ın DNS sunucusu 8.8.8.8’i kullandığını söylüyor.
Soket oluşturulup bağlantı denendikten sonra Google’ın DNS sunucusuyla iletişim kurmak için kullanılacak arayüzün yerel IP adresi alınır.
Tavsiye
- Sağlam erişim kısıtlamaları ve kimlik doğrulama prosedürlerini uygulayarak Docker Remote API sunucularını yetkisiz erişime karşı koruyun.
- Herhangi bir tuhaf davranışa karşı Docker Remote API sunucularına göz kulak olun.
- Konteyner güvenliği için “Ayrıcalıklı” moddan kaçınmak ve dağıtımdan önce konteyner görüntülerini ve yapılandırmalarını kapsamlı bir şekilde kontrol etmek de dahil olmak üzere standart uygulamaları benimseyin.
- Docker ve ilgili yazılım güvenliği düzeltmeleri ve güncellemeleri konusunda kendinizi güncel tutun.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın