بدافزار لینوکس Kinsing در محیط‌های Container برنامه‌ی استخراج رمزارز مستقر می‌کند

پویشی که ماه‌ها ادامه داشته است، درگاه‌های باز Docker Daemon API با پیکربندی نادرست را هدف قرار می‌دهد تا بدافزاری به نام Kinsing را که یک برنامه‌ی استخراج رمزارز را در محیط‌های container در معرض خطر  مستقر می‌کند، نصب کند. پژوهش‌گران Aqua Security که این حملات را ردیابی کرده‌اند، بیان می‌کنند که روزانه هزاران مورد آلودگی مشاهده کرده‌اند. نفوذگران در این حمله از درگاه‌های Docker API با پیکربندی نادرست برای اجرای یک container اوبونتو که میزبان Kinsing است، سوءاستفاده می‌کنند.

بدافزار Kinsing در container، یک برنامه‌ی استخراج رمزارز اجرا می‌کند و سپس سعی می‌کند آن را بیشتر گسترش دهد و هم containerها و هم میزبان‌ها را هدف قرار می‌دهد. همه‌ی حملات مشاهده‌شده دارای نقطه‌ی ورود یکسانی هستند که تنها تفاوت بین آن‌ها آدرس IP است که یک اسکریپت shell اولیه از آن بارگیری می‌شود. تاکنون، پژوهش‌گران امنیتی ۳ آدرس IP متفاوت شناسایی کرده‌اند.

این اسکریپت shell برای غیرفعال کردن اقدامات امنیتی و پاک کردن گزارش‌ها و همچنین حذف بدافزارها و برنامه‌های استخراج رمزارز رقیب با بستن آن‌ها، حذف فایل‌های مربوطه و خاتمه دادن به هر یک از containerهای Docker مخرب رقیب و حذف تصاویر آن‌ها طراحی شده است. علاوه‌برآن، این اسکریپتی که بدافزار Kinsing را بارگیری و اجرا می‌کند، از طریق crontab به پایداری می‌رسد و به دنبال دستورات دیگر در حال اجرا در cron است تا آن‌ها را حذف کند.

Kinsing مبتنی‌بر لینوکس است و در Golang نوشته شده است که پس از اجرا، تلاش می‌کند تا با سرورهای دستور و کنترل در اروپای شرقی ارتباط برقرار کند. Aqua Security سرورهای اختصاصی مربوط به هر یک از توابع بدافزار مانند ارتباط دستور و کنترل، بارگیری یک اسکریپت انتشار و بارگیری یک برنامه‌ی استخراج رمزارز را کشف کرد.

اسکریپت shell استفاده‌شده برای انتشار در سراسر شبکه‌ی container به‌صورت انفعالی داده‌ها را از /.ssh/config، .bash_history، /.ssh/know_hosts و موارد مشابه جمع‌آوری می‌کند سپس تلاش می‌کند که با استفاده از هر کاربر و ترکیب کلید از طریق SSH به هر میزبانی متصل شود.

برنامه‌ی استخراج رمزارزی که در این حمله توزیع می‌شود، kdevtmpfsi نامیده می‌شود و برای استخراج بیت‌کوین طراحی شده است. این برنامه ابتدا به یک میزبانی متصل می‌شود که از یک درخواست ورود در HTTP برای دریافت دستورالعمل‌های بیشتر استفاده می‌کند و سپس عملیات استخراج را آغاز می‌کند. Aqua Security نتیجه‌گیری می‌کند که این حمله نمونه‌ی دیگری از تهدیدات رو به رشد در محیط‌های بومی ابری است. با افزایش استفاده از container، مهاجمان در حال گسترش حملات خود و افزایش سطح پیچیدگی آن‌ها هستند.

منبع

پست‌های مشابه

Leave a Comment