Los ciberdelincuentes siguen abusando de las API de Docker no protegidas para crear nuevos contenedores utilizados para el cryptojacking advierte Trend Micro
Los delincuentes siguen abusando de las API de Docker no protegidas para crear nuevos contenedores utilizados para el cryptojacking.
A principios de este año, los investigadores de Sysdig y Aqua Security comenzaron a observar ataques cibernéticos dirigidos a las instancias de Kubernets y Docker dirigidas a la criptomoneda de Monero.
Un contenedor es un paquete que contiene una aplicación y todas las dependencias que se requieren para su ejecución. Cada contenedor Docker se ejecuta en Docker Engine junto con otros contenedores. Los expertos señalaron que un motor Docker no está asegurado correctamente podría estar expuesto a un ataque remoto a través de la API del motor Docker.
Los malhechores pueden abusar de Docker Engine API para implementar contenedores que han creado con la intención específica de extraer criptomonedas.
Los expertos de Trend Micro han observado recientemente que los actores de amenazas exploran las API de Docker Engine expuestas (puertos 2375 y 2376), atacantes que intentaban abusar de ellas para implementar contenedores que se utilizan para el cryptojacking.
“Recientemente observamos casos de abuso de los sistemas que ejecutan puertos de interfaz de programa de aplicación (API) mal configurados de Docker Engine-Docker con Docker. También notamos que las actividades maliciosas se enfocaron en la búsqueda de puertos abiertos 2375 / TCP y 2376 / TCP, que son utilizados por el demonio del motor Docker ( dockerd ) ”, lee el análisis publicado por Trend Micro.
"La intrusión intenta implementar un malware de extracción de criptomonedas (detectado por Trend Micro como Coinminer.SH.MALXMR.ATNE) en los sistemas mal configurados".
- Los investigadores observaron que los piratas informáticos a menudo crean contenedores Docker a través de puertos API expuestos y ejecutan los siguientes comandos en instalaciones comprometidas:
- Instale un paquete wget usando el administrador de paquetes del sistema.
- Utilice wget para descargar un script de despliegue automático.
- Convierta el script de DOS a formato Unix (los finales de línea del script a menudo están en formato DOS).
- Establecer los permisos ejecutables para el script.
- Ejecutar el script (auto.sh).
El script auto.sh implementa un minero de Monero y también un software de escaneo de puertos, que buscará otras instalaciones vulnerables de Docker Engine.
Los expertos han visto a los atacantes escanear todas las redes desde el host con una tasa de escaneo de 50,000 paquetes por segundo para los puertos abiertos 2375 y 2376 y guardar el resultado en el archivo local.txt.
Los atacantes realizan movimientos laterales al infectar o abusar de otros huéspedes identificados en exploraciones de reconocimiento anteriores.
Los expertos proporcionaron recomendaciones para asegurar las instalaciones de Docker Engine, a continuación las mejores prácticas proporcionadas por Trend Micro:
- Endurecer la postura de seguridad. El Centro de Seguridad de Internet (CIS) tiene una referencia que puede ayudar a los administradores de sistemas y equipos de seguridad a establecer un punto de referencia para asegurar su motor Docker.
- Asegúrese de que las imágenes del contenedor estén autenticadas, firmadas y de un registro de confianza (es decir, Docker Trusted Registry ). El empleo de herramientas automatizadas de escaneo de imágenes ayuda a mejorar los ciclos de desarrollo.
- Hacer cumplir el principio de privilegio mínimo. Por ejemplo, restrinja el acceso al demonio y encripte los protocolos de comunicación que utiliza para conectarse a la red. Docker tiene pautas sobre cómo proteger el socket del daemon.
- Configure correctamente la cantidad de recursos que los contenedores pueden usar (grupos de control y espacios de nombres).
- Habilite las funciones de seguridad integradas de Docker para ayudar a defenderse contra las amenazas. Docker tiene varias pautas sobre cómo configurar de forma segura las aplicaciones basadas en Docker.
