Krypto-Mining-Angriff nutzt Docker-API-Fehlkonfiguration seit 2019 aus

  • Die Kampagne nutzt falsch konfigurierte Docker-APIs aus, um sich Zugang zum Netzwerk zu verschaffen, und richtet schließlich eine Backdoor auf kompromittierten Hosts ein, um Kryptowährung zu schürfen.

    Hackern, die hinter einer Kryptomining-Kampagne stecken, ist es seit 2019 gelungen, einer Entdeckung zu entgehen. Die Angriffe nutzten falsch konfigurierte Docker-APIs aus, die es ihnen ermöglichten, sich Zugang zum Netzwerk zu verschaffen und schließlich eine Hintertür auf kompromittierten Hosts einzurichten, um Kryptowährung zu schürfen, so Forscher.

    Die Angriffstechnik ist skriptbasiert und wird als “Autom” bezeichnet, da sie die Datei “autom.sh” ausnutzt. Die Angreifer haben die API-Fehlkonfiguration während des aktiven Zeitraums der Kampagne konsequent ausgenutzt, allerdings variierten die Umgehungstaktiken, was es den Angreifern ermöglichte, unter dem Radar zu fliegen, schrieb Aquasec’s Forschungsabteilung Team Nautilus in einem am Mittwoch veröffentlichten Bericht.

    Angreifer haben Honeypots, die von Team Nautilus eingerichtet wurden, seit 2019 84 Mal getroffen, mit 22 Angriffen im Jahr 2019, 58 im Jahr 2020 und vier im Jahr 2021, bevor die Forscher im Oktober mit der Erstellung ihres Berichts begannen, so die Forscher. Die Forscher berichten auch, dass die Angriffe auf Honeypots in diesem Jahr deutlich zurückgegangen sind, während die Angriffe auf schlecht konfigurierte Docker-APIs laut einer Shodan-Suche insgesamt nicht abgenommen haben, so die Forscher.

    “Dieser Rückgang der Angriffe auf unsere Honeypots könnte darauf hindeuten, dass die Angreifer sie identifiziert und daher das Volumen ihrer Angriffe im Jahr 2021 reduziert haben”, schreiben sie.

    Obwohl die Angreifer den gleichen Einstiegspunkt und die gleichen Taktiken verwenden, um ihr ultimatives Ziel des Kryptomining während des Angriffsvektors zu erreichen, ist das, was sich am meisten über den Angriff im Laufe der Jahre verändert hat, wie die Bedrohungsakteure ständig Ausweichmanöver entwickelt haben, um die Entdeckung zu vermeiden, sagten die Forscher.

    “Wir haben die Entwicklung der Kampagne in den Taktiken gesehen, die die Gegner einsetzen, um eine Entdeckung zu vermeiden”, schreiben sie in dem Bericht.

    Außerdem haben die Angreifer seit Beginn der Kampagne fünf verschiedene Server verwendet, um das Shell-Skript herunterzuladen, das den Angriff initiiert, so die Forscher. “Es scheint, dass die Gruppe hinter dem Angriff ihre Fähigkeiten entwickelt hat, um die Angriffsfläche zu erweitern und ihren Angriff zu verbreiten”, schreiben die Forscher.

    Aufschlüsselung des Angriffs

    Das Team Nautilus beobachtete den Angriff erstmals im Jahr 2019, als ein bösartiger Befehl während der Ausführung eines Vanilla-Images alpine:latest ausgeführt wurde, das das Shell-Skript autom.sh herunterlud, so die Forscher in ihrem Bericht. Angreifer verwenden häufig Vanilla-Images zusammen mit bösartigen Befehlen, um Angriffe auszuführen, da die meisten Organisationen diesen Images vertrauen und ihre Verwendung zulassen, so die Forscher.

    Die Angreifer haben stets denselben Einstiegspunkt für den Angriff verwendet, der von einem Remote-Server ausgeführt wird, der nach anfälligen Hosts sucht, um falsch konfigurierte Docker-APIs auszunutzen, so die Forscher.

    Dann führen sie das Vanilla-Image und die anschließende bösartige Shell aus, die einen Benutzer mit zwei Methoden erstellt: adduser, das Benutzer hinzufügt, indem es den Home-Ordner des Kontos und andere Einstellungen einrichtet, und useradd, ein Low-Level-Dienstprogrammbefehl zum Hinzufügen von Benutzern, unter dem Namen akay.

    Da der neu erstellte Benutzer nicht privilegiert ist, erhöhen die Bedrohungsakteure die Privilegien, indem sie das Präfix “sudo” verwenden und ihn dann in einen Root-Benutzer verwandeln, der unbegrenzte Privilegien für die Ausführung aller Befehle der Datei sudoers gewährt. Auf diese Weise wird kontrolliert, wie sudo auf einem Zielcomputer funktioniert, und der Bedrohungsakteur wird im Grunde zu einem Superuser, schreiben die Forscher.

    Die Angreifer verwenden dann die Domain icanhazip[.]com, um die öffentliche IP-Adresse des kompromittierten Hosts zu erhalten und sie zum Herunterladen einer Datei vom Entfernungsserver zu verwenden. Durch diese Reihe von Schritten installieren die Angreifer eine Hintertür, die ihnen Persistenz auf dem kompromittierten Host gewährt, um heimlich Kryptowährung zu schürfen, schreiben die Forscher.

    Ausweichmanöver

    Während die Angreifer seit Beginn der Autom-Kampagne kaum verändert haben, wie sie sich Zugang zu den Rechnern der Opfer verschaffen und sich dort festsetzen, haben sie zwei Dinge verändert – den Server, von dem das Shell-Skript autom.sh heruntergeladen wurde, und, was noch bemerkenswerter ist, bestimmte Umgehungstaktiken, so die Forscher.

    In Bezug auf den letzteren Punkt hat das Team Nautilus beobachtet, dass die Kampagne im Jahr 2019 keine “speziellen Techniken” zum Verstecken ihrer schändlichen Geschäfte einsetzte und in den folgenden zwei Jahren komplexere Verschleierungstaktiken hinzufügte, so die Forscher.

    Im Jahr 2020 deaktivierten sie eine Reihe von Sicherheitsmechanismen, um im Verborgenen zu bleiben, darunter ufw (Uncomplicated Firewall), die es Benutzern ermöglicht, den Zugriff auf einen Dienst zuzulassen oder zu verweigern, und NMI (non-maskable interrupt), der Interrupt mit der höchsten Priorität, der typischerweise auftritt, um Aufmerksamkeit für nicht behebbare Hardwarefehler zu signalisieren, und der zur Überwachung von Systemresets verwendet wird.

    In diesem Jahr fügten die Angreifer eine neue Technik hinzu, um die Kryptomining-Aktivität zu verbergen, indem sie ein verschleiertes Shell-Skript von einem Remote-Server herunterluden, so die Forscher.

    “Sie verschlüsselten das Skript fünfmal in base64, um zu verhindern, dass Sicherheitstools es lesen und die Absichten dahinter verstehen können”, schreiben sie. “Die Dekodierung des Skripts enthüllte die Mining-Aktivität”.

    Zu den weiteren Verschleierungsmöglichkeiten, die im Laufe der Kampagne hinzugefügt wurden, gehörte das Herunterladen des Skripts log_rotate.bin, das die Kryptomining-Aktivität durch die Erstellung eines neuen Cron-Jobs startet, der alle 55 Minuten auf dem kompromittierten Host das Mining einleitet, fügten die Forscher hinzu.

    “Die Autom-Kampagne zeigt, dass die Angreifer immer raffinierter werden und ihre Techniken sowie ihre Fähigkeit, die Erkennung durch Sicherheitslösungen zu vermeiden, ständig verbessern”, so die Forscher.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com