黑客使用合法工具接管Docker和Kubernetes平臺

在最近一次攻擊中，網(wǎng)絡(luò )犯罪團伙TeamTNT依靠一種合法工具避免將惡意代碼部署在受感染的云基礎架構上，但仍能牢牢地控制該云基礎架構。

他們使用了一種專(zhuān)門(mén)為監測和控制安裝有Docker和Kubernetes的云環(huán)境而開(kāi)發(fā)的開(kāi)源工具，減小了在中招服務(wù)器上的資源占用空間。

濫用開(kāi)源工具

Intezer的研究人員分析攻擊后發(fā)現，TeamTNT安裝了Weave Scope開(kāi)源工具，以全面控制受害者的云基礎架構。

據研究人員聲稱(chēng)，這可能是合法的第三方工具頭一次被濫用、在云環(huán)境起到后門(mén)的作用，這也表明這個(gè)攻擊團伙的手段日益高明。

Weave Scope與Docker、Kubernetes、分布式云操作系統（DC/OS）和AWS Elastic Compute Cloud（ECS）無(wú)縫集成起來(lái)。它提供了完整的視圖，直觀(guān)顯示了服務(wù)器上的進(jìn)程、容器和主機，可控制已安裝的應用程序。

Intezer在一份報告中指出：“攻擊者安裝該工具是為了直觀(guān)地呈現受害者的云環(huán)境，并執行系統命令，無(wú)需在服務(wù)器上部署惡意代碼?！?/p>

研究人員在描述來(lái)自該事件的攻擊流時(shí)表示，TeamTNT是通過(guò)一個(gè)公開(kāi)的Docker API趁虛而入的。這使他們得以創(chuàng )建一個(gè)干凈的Ubuntu容器，該容器被配置成可安裝在受害者的服務(wù)器上，進(jìn)而訪(fǎng)問(wèn)主機上的文件。

然后，攻擊者利用提升的權限設置了一個(gè)名為“hilde”的本地用戶(hù)，并使用該用戶(hù)通過(guò)SSH連接至服務(wù)器。安裝Weave Scope是攻擊的下一步，僅需三個(gè)命令即可完成下載、對Scope應用程序設置權限并發(fā)動(dòng)攻擊這一系列操作。

借助服務(wù)器上的這個(gè)實(shí)用程序，TeamTNT可以通過(guò)HTTP經(jīng)由端口4040（Scope應用程序端點(diǎn)的默認端口）連接至Weave Scope儀表板，從而獲得控制權。

研究人員表示，如果關(guān)閉了Docker API端口或實(shí)施了受限訪(fǎng)問(wèn)策略，本可以避免這種罕見(jiàn)的情形。

另一個(gè)配置不當是允許從網(wǎng)絡(luò )外部連接到Weave Scope儀表板。該工具的說(shuō)明文檔清楚地闡明不要讓端口4040可通過(guò)互聯(lián)網(wǎng)來(lái)訪(fǎng)問(wèn)。

5月初TeamTNT引起了安全研究人員的注意，MalwareHunterTeam在推文中提到了這個(gè)加密貨幣挖掘團伙；而趨勢科技披露，攻擊者掃描了整個(gè)互聯(lián)網(wǎng)，以查找敞開(kāi)的Docker守護程序端口。

上個(gè)月，總部位于英國的Cado Security公司發(fā)布了一份報告，有證據表明TeamTNT的加密貨幣挖掘蠕蟲(chóng)還可以從Docker和Kubernetes實(shí)例中竊取AWS登錄信息和配置文件。