fbpx

脅威:Docker、Kubernetes環境に対するPwnキャンペーン #aqua #コンテナ #セキュリティ #kubernetes #k8s #エクスプロイト #マルウェア #クリプトマイニング

AquaSecurityDockerKubernetes

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで2021年2月17日に公開された「 Threat Alert: TeamTNT Pwn Campaign Against Docker and K8s Environments 」の日本語翻訳です。

脅威:Docker、Kubernetes環境に対するPwnキャンペーン

先週、TeamTNT は Docker と Kubernetes 環境に対する新たなキャンペーンを開始しました。Docker Hub でホストされているコンテナイメージのコレクションを使用して、攻撃者は誤って設定された Docker デーモン・Kubeflow ダッシュボード・および Weave Scope を標的とします。これらの環境を悪用してクラウドの認証情報の奪取、バックドアのオープン、クリプトマイニングを実行、次の標的を探すためのワームを起動するなど、攻撃は多岐に渡ります。このブログでは、これらのコンテナイメージとそれらが何をするために設計されたのかを探っていきます。

2019年6月3日に「heavy0x0james」という Docker Hub アカウントが作成されています。2021年2月に、攻撃者は6つの悪意のあるコンテナイメージをアップロードしており、これらのイメージが野放しであったために実際に攻撃が行われたことが確認できました。6つのコンテナイメージはすべて初めに init.sh という名前のシェルファイルを実行しますが、それぞれのイメージ毎に異なる動作をします。その後、攻撃者は zgrab(MD5= 7691c55732fded10fca0d6ccc64e41dc)というバイナリを利用して、より多くの標的をインターネット上で検索します。

以下、これらの悪質なコンテナイメージとその動作を説明した一覧です。

コンテナイメージ

概要

Wescopwn
  • クリプトマイニング
  • ワームの実行
  • 80、443、8080、8888ポートをスキャン
  • 脆弱な WeaveScope アプリを検索
  • Tsunami マルウェアの実行

Tornadopwn
  • ワームの実行
  • AWS の IP 範囲をスキャン
  • 80、443、8080、8888ポートをスキャン
  • 脆弱な Kubeflow 及び Jupyter notebook の検索

Jaganod
  • トロイの木馬の実行Execute a trojan (/usr/local/lib/dockerd.so)
  • ワームの実行
  • 80、2375、2376、4243、4040、8888ポートをスキャン
  • 脆弱な Docker デーモン、WeaveScope、Kubeflow 及び Jupyter notebookの検索

Awspwner

 
  • ワームの実行
  • AWS の IP 範囲をスキャン
  • 2375、2376、2377、4244、4243ポートをスキャン
  • AWS 認証情報奪取プログラムの実行

Tornadorangepwn
  • ワームの実行
  • 80、443、8080、8888ポートをスキャン
  • AWS 認証情報奪取プログラムの実行

まとめ

ここ数年、私たち Team Nautilus は Docker や Kubernetes 環境に対する様々な種類の攻撃を検知してきました。インターネットを大規模かつ体系的にスキャンし、特定の設定ミスや古いソフトウェアを検索して潜在的な犠牲者を攻撃するように設計されたキャンペーンを見るのは今回が初めてです。これらのコンテナイメージの中には、クリプトマイニングを展開するものや、バックドアのオープン、AWS の認証情報を盗むもの等があります。これらの調査結果は、ほんのわずかな設定ミスであってもサイバー攻撃につながる可能性があるため、セキュリティ担当者に注意を促すものです。

Docker や Kubernetes 環境で作業する際には、以下のセキュリティのベストプラクティスに従うことをお勧めします。

  1. クラウドソフトウェア、具体的には Docker や Kubernetes のバージョンを定期的にアップデートしましょう。古いバージョンでは、通常より多くの既知の脆弱性が存在します。
  2. 可能であれば、不要な API をインターネットに公開することは避けてください。さらに、API のインバウンドとアウトバウンドのトラフィックを組織のネットワーク範囲に制限してください。
  3. 認可・認証ポリシー、セキュリティの基本方針を見直し、最小特権の原則に沿って調整しましょう。
  4. ランタイム環境を定期的に監視しましょう。これには実行中のコンテナ、そのイメージ、実行中のプロセスを監視することが含まれます。ログを調査し、主にユーザアクションを中心に、定期的な異常や異常値を説明できないアクションを探してください。
  5. ポリシーを簡単に実行できるセキュリティ戦略を導入するとともに、クラウドセキュリティツールの利用を検討することで、クラウドリソースの範囲を広げられます。

New call-to-action

Indication of Compromise (IOCs)

heavy0x0james/dockgeddon:latest

  • root/dockerd (MD5= 091efbe14d22ecb8a39dd1da593f03f4)
  • root/TNTfeatB0RG (MD5= 624e902dd14a9064d6126378f1e8fc73)
  • C2= 45[.]9[.]148[.]85

heavy0x0james/wescopwn:latest

  • root/dockerd (MD5= 091efbe14d22ecb8a39dd1da593f03f4)
  • root/TNTfeatB0RG (MD5= 624e902dd14a9064d6126378f1e8fc73)
  • C2= 45[.]9[.]148[.]85, borg[.]wtf

heavy0x0james/tornadopwn:latest

  • C2= 45[.]9[.]148[.]85

heavy0x0james/jaganod:latest

  • usr/local/lib/dockerd.so (MD5= e8b1dc73a3299325f5c9a8aed41ba352)
  • root/dockerd (MD5= 091efbe14d22ecb8a39dd1da593f03f4)
  • C2= 45[.]9[.]148[.]85 

heavy0x0james/awspwner:latest

  • aws.sh
  • C2= borg[.]wtf

heavy0x0james/tornadorangepwn:latest

  • aws.sh
  • C2= borg[.]wtf

New call-to-action
新規CTA