TeamTNT 使用 Weave Scop 攻击 Docker 和 Kubernetes 获得对云实例的完全远程接管

Andrew 2020-09-10
专栏 - 事件 发布于 2020-09-10 11:24:02 阅读 100 评论 0

网络犯罪组织使用一个称为Weave Scope的合法工具,在目标Docker和Kubernetes集群上建立了无文件后门。

据研究人员称,TeamTNT网络犯罪团伙卷土重来,他们通过滥用一种名为Weave Scope的合法云监控工具攻击Docker和Kubernetes云实例。

开源的Weave Scope“为您的应用程序以及整个基础架构提供了自上而下的视图,并允许您实时诊断将分布式容器化应用程序部署到云提供商时遇到的任何问题,”根据其网站。

换句话说,Intezer的研究人员解释说,这是一个值得信赖的工具,可以使用户完全访问云环境。它可以与Docker,Kubernetes,分布式云操作系统(DC / OS)和AAmazon Web Services Elastic Compute Cloud(ECS)集成-它使网络犯罪分子可以完美地进入公司的云基础架构。

Intezer的恶意软件分析师 Nicole Fishbein 在周二的帖子中解释说:“攻击者安装此工具是为了映射受害者的云环境并执行系统命令,而无需在服务器上部署恶意代码。” “当被滥用时,Weave Scope可以使攻击者完全了解并控制受害人云环境中的所有资产,本质上是充当后门。”

因此,攻击者可以访问有关受害者服务器环境的所有信息,还可以控制已安装的应用程序,在云工作负载之间建立或断开连接,使用内存和CPU以及“具有启动功能的现有容器列表” ,停止并打开其中任何一个容器中的交互式外壳,”研究人员说。

攻击场景

Intezer已经看到了许多这类攻击。关于滥用的开始方式,攻击者首先找到一个暴露的,配置错误的Docker API端口,Fishbein详细介绍-配置错误是大多数云计算攻击的起点。然后,他们可以使用该端口使用干净的Ubuntu映像创建新的特权容器。

她解释说:“容器配置为将容器的文件系统安装到受害服务器的文件系统,从而使攻击者可以访问服务器上的所有文件。” “然后,攻击者试图通过在主机服务器上设置名为’hilde’的本地特权用户并使用它来通过SSH重新连接来获得对服务器的root访问。”

在最近发现的一系列攻击中,一旦“入侵”,提供给容器的初始命令就是下载并执行多个加密器。但是接下来,攻击者下载并安装 Weave Scope。

Fishbein说:“如 Weave Scope 的git中的安装指南中所述,只需很少的命令即可完成该工具的安装。” “一旦安装,攻击者就可以通过HTTP在端口4040上连接到Weave Scope仪表板,并获得对受害者基础结构的完全可见性和控制权。”

微软还观察了该组织采用Weave Scope的最新活动,发现最初的访问点实际上是Weave Scope本身配置错误并公开暴露。

微软研究人员在几个Azure Kubernetes服务(AKS)群集上发现了一个恶意的TeamTNT映像(AKS是托管的Kubernetes服务,使客户可以轻松地在Azure中部署Kubernetes群集)。然后,他们研究了如何将这些映像部署到AKS环境中。

该公司在周二的帖子中表示:“在这种情况下,由于AKS节点已配置了正确的Docker服务器配置,因此Docker API服务暴露给互联网的可能性较小。” “因此,我们可以假设攻击者在这些事件中具有不同的访问媒介。当我们寻找受此映像感染的各种Kubernetes集群的通用部署时,我们注意到它们都具有开放的Weave Scope服务。”

通过基于浏览器的仪表板提供有关受害环境的信息,该仪表板提供Docker运行时云环境的可视化地图。该仪表板还可用于发出Shell命令-无需TeamTNT在服务器本身上运行代码。

TeamTNT小组专门研究攻击云,通常使用恶意Docker映像进行攻击,并证明了自己的创新能力。Fishbein说,这一系列最新的感染似乎是第一次在云攻击中使用这种合法工具。TeamTNT之前也有文档记载在AWS内部署独特且罕见的凭证窃取蠕虫。

与大多数云威胁一样,对云工作负载和服务进行适当配置,以使它们不会暴露在开放的互联网中,可以阻止这些攻击。因此,Fishbein建议公司关闭所有公开的Docker API端口,或至少限制通过防火墙策略的访问,并阻止到端口4040的传入连接,这是Weave Scope使仪表板可访问的默认设置。

微软表示:“由于默认情况下,Weave Scope不使用任何身份验证,因此将该服务暴露在互联网上会带来严重的安全风险。” “而且,我们仍然看到集群管理员启用了对此接口以及其他类似服务的公共访问。包括该组在内的攻击者利用这种错误配置,并使用公共访问权来入侵Kubernetes集群。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!