自2019年以來，實(shí)施文件加密的網(wǎng)絡(luò)攻擊活動(dòng)背后的黑客團(tuán)伙逐漸浮出了水面。研究人員說，這些攻擊活動(dòng)都利用了設(shè)備上配置錯(cuò)誤的Docker APIs，這使得他們能夠獲得內(nèi)部網(wǎng)絡(luò)的入口，并最終在被攻擊的主機(jī)上安裝后門，然后挖掘加密貨幣。

該攻擊技術(shù)是基于腳本進(jìn)行的，該攻擊方式被稱為 "Autom"，因?yàn)樗昧宋募? "autom.sh"。Aquasec研究部門在周三發(fā)表的一份報(bào)告中寫道，該攻擊活動(dòng)在活躍時(shí)期時(shí)，攻擊者一直在濫用API的錯(cuò)誤配置，但是其使用的規(guī)避策略各不相同。

研究人員說，自2019年以來，攻擊者對(duì)Nautilus團(tuán)隊(duì)設(shè)置的蜜罐進(jìn)行了84次攻擊，其中2019年有22次，2020年有58次，2021年在研究人員10月開始撰寫報(bào)告前有4次攻擊。研究人員還報(bào)告說，根據(jù)Shodan搜索，今年對(duì)蜜罐的攻擊數(shù)量明顯減少，但是針對(duì)配置錯(cuò)誤的Docker API進(jìn)行攻擊的整體趨勢并沒有減少。

他們寫道："對(duì)我們蜜罐的攻擊次數(shù)的減少，可能意味著攻擊者已經(jīng)識(shí)別出來了他們，因此在2021年就減少了他們的攻擊量。"

研究人員說，雖然攻擊者在攻擊的載體中使用了相同的攻擊方式來實(shí)現(xiàn)他們的目的—對(duì)文件進(jìn)行加密，這么多年以來攻擊的最大變化就是威脅者在不斷演化出新的規(guī)避檢測手法。

他們?cè)趫?bào)告中寫道："我們通過攻擊者的規(guī)避檢測的技術(shù)看到了攻擊團(tuán)伙的技術(shù)進(jìn)步。”

他們說，攻擊者自攻擊活動(dòng)開始以來使用了五個(gè)不同的服務(wù)器來下載啟動(dòng)攻擊的shell腳本。研究人員寫道："看來，網(wǎng)絡(luò)攻擊背后的團(tuán)體已經(jīng)提升了他們的攻擊技能，擴(kuò)大了攻擊面來進(jìn)行他們的攻擊"。

網(wǎng)絡(luò)攻擊分析

他們?cè)趫?bào)告中說，Nautilus團(tuán)隊(duì)在2019年首次觀察到了這種攻擊，當(dāng)時(shí)在運(yùn)行一個(gè)植物的圖像時(shí)執(zhí)行了一條惡意命令，該圖像下載了一個(gè)名為autom.sh的shell腳本。研究人員解釋說，攻擊者通常會(huì)使用該圖像和惡意命令來執(zhí)行攻擊，因?yàn)榇蠖鄶?shù)組織都信任這些圖像并允許使用它們。

他們寫道，攻擊者一貫使用相同的攻擊切入點(diǎn)，然后在一個(gè)遠(yuǎn)程服務(wù)器上進(jìn)行執(zhí)行，搜索含有漏洞的主機(jī)，然后利用配置錯(cuò)誤的Docker APIs進(jìn)行攻擊。

然后他們運(yùn)行vanilla鏡像和其他的惡意shell，通過這兩種方法創(chuàng)建一個(gè)用戶--adduser(通過設(shè)置賬戶的主文件夾和其他設(shè)置來添加用戶)和useradd(用于添加用戶的低級(jí)命令)，其用戶名字為akay。

由于新創(chuàng)建的用戶沒有特權(quán)，威脅者通過使用 "sudo "命令來提升權(quán)限，然后將其變成一個(gè)root用戶，授予無限的權(quán)限來運(yùn)行任何sudoers文件。研究人員寫道，這改變了sudo在目標(biāo)機(jī)器上的工作方式，基本上可以使攻擊者成為超級(jí)用戶。

然后，攻擊者會(huì)使用域名icanhazip[.com]獲得被攻擊主機(jī)的公共IP地址，并從服務(wù)器上刪除下載的文件。研究人員寫道，通過這一系列的操作，攻擊者成功安裝了一個(gè)后門，使得他們?cè)诒还糁鳈C(jī)上獲得了權(quán)限的持久性，這樣可以隱蔽地挖掘加密貨幣。

規(guī)避安全檢查

研究人員說，雖然攻擊者自Autom開始攻擊活動(dòng)以后，幾乎沒有改變他們?nèi)肭质芎φ邫C(jī)器并實(shí)現(xiàn)持久性的方式，但他們卻改變了兩件事--下載shell腳本autom.sh的服務(wù)器，以及具體的規(guī)避戰(zhàn)術(shù)。

對(duì)于后一點(diǎn)，Nautilus團(tuán)隊(duì)觀察到該攻擊活動(dòng)從2019年沒有使用隱藏其攻擊行為的技術(shù)發(fā)展到在接下來的兩年里增加了更為復(fù)雜的隱蔽戰(zhàn)術(shù)。

2020年，他們禁用了一些安全機(jī)制來確保其隱蔽性，包括ufw(非復(fù)雜防火墻)，它能夠允許或拒絕用戶對(duì)某項(xiàng)服務(wù)進(jìn)行訪問，以及NMI(非屏蔽中斷)，它是最高優(yōu)先級(jí)的中斷，通常發(fā)生在不可恢復(fù)的硬件錯(cuò)誤信號(hào)中，還可以用于監(jiān)測系統(tǒng)的復(fù)位。

研究人員說，今年，攻擊者還增加了一種新的攻擊技術(shù)，通過從遠(yuǎn)程服務(wù)器下載一個(gè)混淆的shell腳本來隱藏加密攻擊活動(dòng)。

他們寫道："他們對(duì)腳本進(jìn)行了五次base64編碼，這樣可以防止安全工具讀取它并了解其背后的意圖。該腳本其實(shí)是用來挖礦的惡意腳本"。

研究人員補(bǔ)充說，在攻擊的過程中增加了其他的功能包括下載log_rotate.bin腳本，該腳本創(chuàng)建了一個(gè)新的cron 任務(wù)來啟動(dòng)加密開采活動(dòng)，該cron job將在被攻擊的主機(jī)上每55分鐘啟動(dòng)一次。

他們指出："Autom的攻擊活動(dòng)表明，攻擊者的攻擊方式正在變得越來越復(fù)雜，不斷的改進(jìn)他們的攻擊技術(shù)來避免被安全解決方案發(fā)現(xiàn)的可能性。”

本文翻譯自：https://threatpost.com/cryptomining-attack-exploits-docker-api-misconfiguration-since-2019/177299/如若轉(zhuǎn)載，請(qǐng)注明原文地址。