Bir DDoS (Dağıtılmış Hizmet Reddi) saldırısı, hedef sistemi yoğun trafikle doldurur.
Bilgisayar korsanları, büyük miktarda trafik oluşturmak için güvenliği ihlal edilmiş bilgisayar ağlarını (botnet’ler) kullanır ve kaynaklarını aşırı yükleyerek hedefin normal işleyişini bozar. Amaç, bir web sitesini veya çevrimiçi hizmeti meşru kullanıcılar için erişilemez hale getirmektir.
Cado Security Labs’taki siber güvenlik araştırmacıları kısa süre önce Cyber Security News’e, yanlış yapılandırma hatalarından yararlanarak OracleIV (diğer adıyla “oracleiv_latest”) adlı kötü amaçlı bir kapsayıcıyı yaymak için Docker Engine API’sindeki güvenlik açıklarını kullanan yeni bir kampanya keşfettiklerini bildirdi.
Kötü amaçlı konteynerdeki Python kötü amaçlı yazılımı, çeşitli saldırı tekniklerini gerçekleştirebilen, ELF çalıştırılabilir bir DDoS bot aracısı olarak işlev görür.
Docker’lı Botnet DDoS Saldırısı
Docker Engine API’sinin ilk erişim için tekrar tekrar hedeflenmesi, genellikle kripto korsanlık kötü amaçlı yazılım dağıtımı için büyüyen bir trenddir.
Çeşitli kampanyaların bunu taraması nedeniyle kasıtsız API maruziyeti yaygındır. Mikro hizmet mimarilerinin yükselişi nedeniyle yaygınlık şaşırtıcı değil.
Geçerli bir uç nokta bulunduğunda, özellikle Dockerhub’da barındırıldığında, kötü amaçlı bir konteynerin başlatılması zahmetsiz hale gelir.
Saldırganlar, Dockerhub’dan bir görüntü çekerek Docker’ın /images/create uç noktasına bir HTTP POST isteğiyle erişimi başlatır.
İşiniz bittiğinde, bir konteyner kullandıktan sonra onu oluşturmak için komutu başlatın. Yakın zamanda yaşanan bir vakada saldırgan, Dockerhub’dan soyguncutignacio328832 kullanıcısı tarafından yüklenen ‘oracleiv_latest’ dosyasını 3.000’den fazla çekme ve devam eden yinelemeyle çekti.
Bunun yanı sıra, “robbertignacio328832” kullanıcısı, Dockerhub’a MySQL Docker görüntü açıklamasını ekleyerek, görüntü katmanlarında “Oracle.sh” ELF yürütülebilir dosyasının alınması gibi kötü amaçlı yük komutlarını gizledi.
Aşağıda, Görüntü katmanı tarafından aşağıdaki amaçlarla yürütülen üç RUN komutundan bahsettik: –
Kötü amaçlı yük için (Kaynak – Cado Güvenliği)
Xmrig madenci için (Kaynak – Cado Güvenliği)
Madenci yapılandırma dosyası için (Kaynak – Cado Güvenliği)
Bunun dışında araştırmacılar, adında “CyFunction” geçen fonksiyonları içeren, Cython tarafından derlenmiş Python kodlu 64 bit ELF’yi de ortaya çıkarıyor.
Aşağıda tanımlanan tüm işlevlerden bahsettik: –
- bot.main
- bot.init_socket
- bot.checksum
- bot.register_ssl
- bot.register_httpget
- bot.register_slow
- bot.register_five
- bot.register_vse
- bot.register_udp
- bot.register_udp_pps
- bot.register_ovh
Bot 46.166.185 adresinden C2 sunucusuna bağlanıyor[.]231:40320, “n3tg34rp0wn3d” sabit kodlu parolayla kimlik doğrulaması yapar ve yanlış anahtar, rahatsız edici bir yanıtla sonuçlanır.
Kimlik doğrulamanın ardından C2, bir programlama anormalliği nedeniyle “rutin ping, greetz Oracle IV” gönderir. Bunun yanı sıra Cado Güvenlik Laboratuarları, aşağıdaki türlerdeki baskınlara sahip hedeflere DDoS saldırıları gerçekleştiren botnet’i izledi: –
DDoS yetenekleri
Aşağıda botnet’in sahip olduğu tüm DDoS özelliklerinden bahsettik: –
- UDP
- UDP_PPS
- SSL
- SEN
- HTTPGET
- YAVAŞ
- BEŞ
- HER ŞEY
- OVH
Öneriler
OracleIV, ilk erişim için yanlış yapılandırılmış Docker API’sinden yararlanan saldırganları vurguluyor. Konteyner taşınabilirliği, kötü amaçlı yüklerin ana bilgisayarlar arasında eşit şekilde çalıştırılmasına olanak tanır.
Cado, OracleIV’i Docker’a zaten bildirmişti ve araştırmacılar Dockerhub kullanıcılarını aşağıdaki önerilere uymaya çağırdı: –
- Kötü amaçlı görüntülere karşı her zaman dikkatli olun.
- Güvenlik açısından görselleri kontrol ettiğinizden emin olun.
- Çekilen görüntüleri potansiyel kötü amaçlı kod açısından düzenli olarak değerlendirin.
- Jupyter, Redis vb. gibi internete yönelik yanlış yapılandırılmış hizmetleri her zaman inceleyin ve bunlara karşı savunun.
IOC’ler
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.