いろいろな脅威アクターが活動を継続していますが、その中の一つにSpinning YARNと呼ばれる脅威アクターがあります。
Spinning YARNは、これまでも多くのツールの環境を狙って攻撃を展開してきました。
そんなSpinning YARNが次に狙いを定めたのは、Docker APIでした。
- ターゲット環境
狙われるのは、Docker APIです。
2375/TCPが外部から参照できる状態に構成されている機器が対象です。
2375/TCPはDockerをリモートから管理する場合に使われることのあるポートの一つで、こちらはクリアテキストのまま流れる動作をします。
TLS暗号化が有効な場合には、同じ目的で2376/TCPが利用されます。
今回のターゲットは2375/TCPのほうです。 - 偵察と環境確認
攻撃者は、自身のいる環境からターゲット環境の2375/TCPに到達できるかを確認します。
到達できた場合、その先にあるDockerのバージョンを確認します。
バージョンが確認できた場合、その宛先は攻撃対象として利用できることが確認できたことを意味します。
2375/TCPは認証を必要とするように設定することも可能ですが、標準状態では、これは有効ではありません。
認証もなく平文接続で外部ネットワークからDockerの操作が可能であることが確認できたということになります。 - コンテナ起動
次の段階は、攻撃拠点の構築です。
構築にはDockerコンテナを使います。
使えることが分かったDocker APIを利用し、侵害先でコンテナを起動します。
使用されるのは、Alpine Linuxコンテナです。 - ホストの操作の開始
攻撃者が起動するのはコンテナですが、そのコンテナでホストのPATHにコンテナの「/」をbind mountすることで、コンテナからホストにファイルを作成できるようになります。
これを使ってエクスプロイトが開始されます。 - 多段階での侵害行為の実行
ホストにファイルをおけるようになったら、侵害行為が開始されます。
シェルスクリプトを書き出し、cronジョブを仕掛けてそれを実行させ、その実行によって次の段階のペイロードを持ってきます。
この行為はcronとしてそのまま残りますので、これが永続化として作用します。
最終的にはGo言語で記述されてコンパイルされたバイナリを持ってきて動作させます。
これも永続化が実施されます。 - 目的行為の開始
侵害の目的はリソースのハイジャックです。
ハイジャックして実施する行為はマイニングです。
攻撃者はXMRigを使用します。 - 横展開
マイニングを開始できると、さらなるリソースのハイジャックを開始します。
横展開です。
横展開用のツールが取り込まれ、これが環境のSSHを使って拡散します。
こうして公開されてしまっているDocker APIのあるホストのリソースはハイジャックされてしまいます。
そもそもアクティブに利用している環境であれば、リソースが想定よりも高い消費状態となっていることに気がつくかもしれませんが、そういった常用している環境であれば、こんなAPIを公開してしまっている状態になったままだったりするでしょうか。
そんな環境はそう多くはないのかもしれません。
しかし、一時利用のつもりで構築されたテスト的な環境などの場合、それは必要な時に利用したまま忘れ去られ放置されているものかもしれません。
こういったものなどが潜在的にこういった攻撃のターゲットとなってしまっているのかもしれません。
自身の環境の構成は常に把握し、存在を忘れ去られたものが出てしまわないようにすることが重要ということに思えます。
Attackers deploying new tactics in campaign targeting exposed Docker APIs
https://securitylabs.datadoghq.com/articles/attackers-deploying-new-tactics-in-campaign-targeting-exposed-docker-apis/
| この記事をシェア |
|
|---|
