Ambienti Docker sotto attacco con un cryptominer
Una sequenza di attacchi mirati agli ambienti Docker cerca di avviare container "ostili" che attivano un cryptominer
Sono in corso attacchi massicci contro ambienti basati sulla virtualizzazione a container. Lo ha rilevato Aqua Security, azienda specializzata nella sicurezza delle applicazioni cloud-native. Gli attacchi sono mirati contro ambienti Docker e paiono fare parte di una campagna ben organizzata. Secondo l'azienda vanno avanti da mesi e superano spesso il centinaio al giorno. Un volume che lascia pensare appunto all'esistenza di un attore con una buona dose di risorse.
Gli attacchi iniziano con una scansione di massa di indirizzi IP a cui corrispondono ambienti Docker. Identificati gli ambienti, si verifica se hanno una porta aperta per comunicare con Docker da remoto. E se questa comunicazione prevede una forma di autenticazione. Se per una cattiva configurazione non si richiede autenticazione, si avvia l'attacco vero e proprio.
Gli attaccanti istanziano da remoto un container Ubuntu. A questo viene fatto eseguire uno shell script caricato da un server remoto. Questo script elimina alcune funzioni di sicurezza dell'ambiente Linux. Poi disattiva eventuali altri malware o cryptominer. Infine scarica il malware Kinsing e lo lancia.
Kinsing è un malware scritto in Go che avvia subito le comunicazioni con alcuni server di comando e controllo. In questo dialogo invia alcune informazioni e soprattutto scarica un altro shell script. Questo contiene alcuni comandi per eseguire una rilevazione degli host raggiungibili nel suo ambiente Docker. E per analizzare i file di sistema alla ricerca delle credenziali per accedervi.
Lo script si connette a tutti gli host rilevati e cerca di scaricarvi il primo script usato nell'attacco iniziale. Se questo attacco laterale funziona, Kinsing viene installato su tutti gli host raggiungibili. L'ultima cosa che fa ogni installazione di Kinsing è eseguire un cryptominer. Che inizia a "minare" Bitcoin.
Per evitare questa forma di attacco, spiega Aqua Security, ci sono alcune contromosse. Tra le principali, adottare una policy di autenticazione e autorizzazione nei confronti degli ambienti Docker. E garantire che vi venga seguito il principio dei privilegi minimi. I container istanziati dovrebbero essere scansionati preventivamente. I log di sistema vanno esaminati alla ricerca di comportamenti sospetti.
Gli attacchi iniziano con una scansione di massa di indirizzi IP a cui corrispondono ambienti Docker. Identificati gli ambienti, si verifica se hanno una porta aperta per comunicare con Docker da remoto. E se questa comunicazione prevede una forma di autenticazione. Se per una cattiva configurazione non si richiede autenticazione, si avvia l'attacco vero e proprio.
Gli attaccanti istanziano da remoto un container Ubuntu. A questo viene fatto eseguire uno shell script caricato da un server remoto. Questo script elimina alcune funzioni di sicurezza dell'ambiente Linux. Poi disattiva eventuali altri malware o cryptominer. Infine scarica il malware Kinsing e lo lancia.
Kinsing è un malware scritto in Go che avvia subito le comunicazioni con alcuni server di comando e controllo. In questo dialogo invia alcune informazioni e soprattutto scarica un altro shell script. Questo contiene alcuni comandi per eseguire una rilevazione degli host raggiungibili nel suo ambiente Docker. E per analizzare i file di sistema alla ricerca delle credenziali per accedervi.Lo script si connette a tutti gli host rilevati e cerca di scaricarvi il primo script usato nell'attacco iniziale. Se questo attacco laterale funziona, Kinsing viene installato su tutti gli host raggiungibili. L'ultima cosa che fa ogni installazione di Kinsing è eseguire un cryptominer. Che inizia a "minare" Bitcoin.
Per evitare questa forma di attacco, spiega Aqua Security, ci sono alcune contromosse. Tra le principali, adottare una policy di autenticazione e autorizzazione nei confronti degli ambienti Docker. E garantire che vi venga seguito il principio dei privilegi minimi. I container istanziati dovrebbero essere scansionati preventivamente. I log di sistema vanno esaminati alla ricerca di comportamenti sospetti.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
