Из официального реестра Docker Hub были удалены сразу 17 образов контейнеров, содержавших  бэкдоры. Через них на серверы пользователей проникали майнеры и обратные шеллы.

Так как образы Docker перед публикацией в Docker Hub не проходят тестирование и серьезный аудит безопасности, вредоносные решения были размещены в реестре без особенного труда. Сообщается, что образы были активны с мая 2017 года по май 2018 года, после чего все же были замечены ИБ-экспертами.

Все 17 образов были загружены одним и тем же злоумышленником или группой лиц, скрывавшихся под псевдонимом docker123321. Один из образов был скачан и установлен более миллиона раз, а на счету других «всего лишь» сотни тысяч установок.

Сообщения о странных проблемах в Docker и Kubernetes начали появляться еще осенью прошлого года. Пользователи жаловались на вредоносную активность на своих облачных серверах. К примеру, такие сообщения нетрудно обнаружить на GitHub или в Twitter. Об этих инцидентах писали независимые специалисты по информационной безопасности, а также компании Sysdig и Aqua Security. Однако всерьез происходящим заинтересовались только аналитики Fortinet и Kromtech, и именно специалистам этих компаний удалось «соединить все точки» и разобраться в случившемся.

Эксперты Fortinet опубликовали свой отчет еще в середине мая 2018 года, вскоре после удаления 17 вредоносных образов с Docker Hub. Специалисты напрямую связывали проблему скрытого майнинга с образами Docker и аккаунтом docker123321.

Аналитики Kromtech, в свою очередь, обнародовали свою версию отчета только на этой неделе, и их исследование детально описывает все произошедшие события, начиная с 2017 года. Экспертам удалось установить даже даты загрузки вредоносных образов в Docker Hub. Хронологию событий, а также таблицу вредоносных образов можно увидеть ниже.

Имя образа   Вид малвари

docker123321/tomcat

docker123321/mysql2

docker123321/mysql3

docker123321/mysql4

docker123321/mysql5

docker123321/mysql6

  Контейнеры запускали обратный шелл на Python.

docker123321/tomcat11

  Контейнеры запускали обратный шелл Bash.

docker123321/tomcat22

  Контейнер добавлял SSH-ключ атакующих.

docker123321/cron

docker123321/cronm

docker123321/cronnn

docker123321/mysql

docker123321/mysql0

docker123321/data

docker123321/t1

docker123321/t2

Контейнеры запускали встроенные майнеры криптовалюты.

docker123321/kk

Контейнеры запускали встроенные майнеры криптовалюты.

 

Специалисты Kromtech пишут, что в подавляющем большинстве случаев злоумышленники заражали серверы пользователей майнером криптовалюты Monero, основанным на XMRig. По данным исследователей, только одна вредоносная кампания принесла преступникам 544,74 Monero, что равняется примерно 90 000 долларов США по текущему курсу.

Хуже того, многие вредоносные образы несли в себе функциональность бэкдоров (благодаря обратным шеллам). И даже если жертва прекращала использование опасного образа, атакующие все равно могли получить устойчивый доступ к скомпрометированной системе и «вернуться» позже.

В итоге специалисты советуют всем, кто успел воспользоваться вредоносными образами, полностью стереть систему и поднять все необходимое с нуля. В противном случае никаких гарантий отсутствия бэкдоров никто дать не сможет.

«Для обычных пользователей загрузка образа Docker из Docker Hub — это все равно что загрузка произвольных бинарных данных непонятно откуда с их последующим выполнением, без какого-либо понимания, что там внутри, но с надеждой на лучшее», — резюмируют эксперты Kromtech.

 

1 комментарий

  1. AgentJordan

    15.06.2018 at 20:39

    Рано или поздно это должно было случиться. Но качать образы с аккаунта docker123321 — это лол.

Оставить мнение