日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

自2019年以來(lái)，實(shí)施文件加密的網(wǎng)絡(luò)攻擊活動(dòng)背后的黑客團(tuán)伙逐漸浮出了水面。研究人員說(shuō)，這些攻擊活動(dòng)都利用了設(shè)備上配置錯(cuò)誤的Docker APIs，這使得他們能夠獲得內(nèi)部網(wǎng)絡(luò)的入口，并最終在被攻擊的主機(jī)上安裝后門，然后挖掘加密貨幣。

該攻擊技術(shù)是基于腳本進(jìn)行的，該攻擊方式被稱為 "Autom"，因?yàn)樗昧宋募?"autom.sh"。Aquasec研究部門在周三發(fā)表的一份報(bào)告中寫道，該攻擊活動(dòng)在活躍時(shí)期時(shí)，攻擊者一直在濫用API的錯(cuò)誤配置，但是其使用的規(guī)避策略各不相同。

研究人員說(shuō)，自2019年以來(lái)，攻擊者對(duì)Nautilus團(tuán)隊(duì)設(shè)置的蜜罐進(jìn)行了84次攻擊，其中2019年有22次，2020年有58次，2021年在研究人員10月開始撰寫報(bào)告前有4次攻擊。研究人員還報(bào)告說(shuō)，根據(jù)Shodan搜索，今年對(duì)蜜罐的攻擊數(shù)量明顯減少，但是針對(duì)配置錯(cuò)誤的Docker API進(jìn)行攻擊的整體趨勢(shì)并沒(méi)有減少。

他們寫道："對(duì)我們蜜罐的攻擊次數(shù)的減少，可能意味著攻擊者已經(jīng)識(shí)別出來(lái)了他們，因此在2021年就減少了他們的攻擊量。"

研究人員說(shuō)，雖然攻擊者在攻擊的載體中使用了相同的攻擊方式來(lái)實(shí)現(xiàn)他們的目的—對(duì)文件進(jìn)行加密，這么多年以來(lái)攻擊的最大變化就是威脅者在不斷演化出新的規(guī)避檢測(cè)手法。

他們?cè)趫?bào)告中寫道："我們通過(guò)攻擊者的規(guī)避檢測(cè)的技術(shù)看到了攻擊團(tuán)伙的技術(shù)進(jìn)步?！?/p>

他們說(shuō)，攻擊者自攻擊活動(dòng)開始以來(lái)使用了五個(gè)不同的服務(wù)器來(lái)下載啟動(dòng)攻擊的shell腳本。研究人員寫道："看來(lái)，網(wǎng)絡(luò)攻擊背后的團(tuán)體已經(jīng)提升了他們的攻擊技能，擴(kuò)大了攻擊面來(lái)進(jìn)行他們的攻擊"。

網(wǎng)絡(luò)攻擊分析

他們?cè)趫?bào)告中說(shuō)，Nautilus團(tuán)隊(duì)在2019年首次觀察到了這種攻擊，當(dāng)時(shí)在運(yùn)行一個(gè)植物的圖像時(shí)執(zhí)行了一條惡意命令，該圖像下載了一個(gè)名為autom.sh的shell腳本。研究人員解釋說(shuō)，攻擊者通常會(huì)使用該圖像和惡意命令來(lái)執(zhí)行攻擊，因?yàn)榇蠖鄶?shù)組織都信任這些圖像并允許使用它們。

他們寫道，攻擊者一貫使用相同的攻擊切入點(diǎn)，然后在一個(gè)遠(yuǎn)程服務(wù)器上進(jìn)行執(zhí)行，搜索含有漏洞的主機(jī)，然后利用配置錯(cuò)誤的Docker APIs進(jìn)行攻擊。

然后他們運(yùn)行vanilla鏡像和其他的惡意shell，通過(guò)這兩種方法創(chuàng)建一個(gè)用戶--adduser(通過(guò)設(shè)置賬戶的主文件夾和其他設(shè)置來(lái)添加用戶)和useradd(用于添加用戶的低級(jí)命令)，其用戶名字為akay。

由于新創(chuàng)建的用戶沒(méi)有特權(quán)，威脅者通過(guò)使用 "sudo "命令來(lái)提升權(quán)限，然后將其變成一個(gè)root用戶，授予無(wú)限的權(quán)限來(lái)運(yùn)行任何sudoers文件。研究人員寫道，這改變了sudo在目標(biāo)機(jī)器上的工作方式，基本上可以使攻擊者成為超級(jí)用戶。

然后，攻擊者會(huì)使用域名icanhazip[.com]獲得被攻擊主機(jī)的公共IP地址，并從服務(wù)器上刪除下載的文件。研究人員寫道，通過(guò)這一系列的操作，攻擊者成功安裝了一個(gè)后門，使得他們?cè)诒还糁鳈C(jī)上獲得了權(quán)限的持久性，這樣可以隱蔽地挖掘加密貨幣。

規(guī)避安全檢查

研究人員說(shuō)，雖然攻擊者自Autom開始攻擊活動(dòng)以后，幾乎沒(méi)有改變他們?nèi)肭质芎φ邫C(jī)器并實(shí)現(xiàn)持久性的方式，但他們卻改變了兩件事--下載shell腳本autom.sh的服務(wù)器，以及具體的規(guī)避戰(zhàn)術(shù)。

對(duì)于后一點(diǎn)，Nautilus團(tuán)隊(duì)觀察到該攻擊活動(dòng)從2019年沒(méi)有使用隱藏其攻擊行為的技術(shù)發(fā)展到在接下來(lái)的兩年里增加了更為復(fù)雜的隱蔽戰(zhàn)術(shù)。

2020年，他們禁用了一些安全機(jī)制來(lái)確保其隱蔽性，包括ufw(非復(fù)雜防火墻)，它能夠允許或拒絕用戶對(duì)某項(xiàng)服務(wù)進(jìn)行訪問(wèn)，以及NMI(非屏蔽中斷)，它是最高優(yōu)先級(jí)的中斷，通常發(fā)生在不可恢復(fù)的硬件錯(cuò)誤信號(hào)中，還可以用于監(jiān)測(cè)系統(tǒng)的復(fù)位。

研究人員說(shuō)，今年，攻擊者還增加了一種新的攻擊技術(shù)，通過(guò)從遠(yuǎn)程服務(wù)器下載一個(gè)混淆的shell腳本來(lái)隱藏加密攻擊活動(dòng)。

他們寫道："他們對(duì)腳本進(jìn)行了五次base64編碼，這樣可以防止安全工具讀取它并了解其背后的意圖。該腳本其實(shí)是用來(lái)挖礦的惡意腳本"。

研究人員補(bǔ)充說(shuō)，在攻擊的過(guò)程中增加了其他的功能包括下載log_rotate.bin腳本，該腳本創(chuàng)建了一個(gè)新的cron 任務(wù)來(lái)啟動(dòng)加密開采活動(dòng)，該cron job將在被攻擊的主機(jī)上每55分鐘啟動(dòng)一次。

他們指出："Autom的攻擊活動(dòng)表明，攻擊者的攻擊方式正在變得越來(lái)越復(fù)雜，不斷的改進(jìn)他們的攻擊技術(shù)來(lái)避免被安全解決方案發(fā)現(xiàn)的可能性?！?/p>

本文翻譯自：https://threatpost.com/cryptomining-attack-exploits-docker-api-misconfiguration-since-2019/177299/如若轉(zhuǎn)載，請(qǐng)注明原文地址。

文章名稱：近幾年攻擊者利用Docker API的錯(cuò)誤配置進(jìn)行攻擊
網(wǎng)站地址：http://www.dlmjj.cn/article/dpjjsei.html