Gafgyt恶意软件在近期攻击中扩大其攻击范围
我们的研究人员发现威胁行为者利用配置错误的Docker服务器传播Gafgyt恶意软件。这种威胁传统上针对物联网设备;这种新策略标志着其行为的改变。
报告要点
- Trend Micro Research观察到威胁行为者使用Gafgyt恶意软件针对配置错误的Docker远程API服务器
- 如果Gafgyt恶意软件成功部署,威胁行为者可以对目标服务器执行DDoS攻击
- Gafgyt主要针对易受攻击的物联网设备,但我们最近观察到该恶意软件被用于攻击Docker远程API服务器,这标志着其行为的显著转变
最近,我们观察到Gafgyt恶意软件(也称为Bashlite或Lizkebab)针对公开暴露的Docker远程API服务器。传统上,这种恶意软件专注于易受攻击的物联网设备,但现在我们看到其行为发生了转变,将其目标扩展到通常范围之外。
我们注意到攻击者针对公开暴露的配置错误的Docker远程API服务器,通过基于合法的"alpine"docker镜像创建Docker容器来部署恶意软件。随着Gafgyt恶意软件的部署,攻击者使用Gafgyt僵尸网络恶意软件感染受害者。部署后,攻击者可以对目标服务器发起DDoS攻击。
我们将仔细研究攻击过程,展示攻击者如何利用暴露的Docker远程API服务器。
攻击序列
攻击者首先尝试在由"alpine"docker镜像创建的Docker容器中部署用Rust编写的Gafgyt僵尸网络二进制文件,文件名为"rbot"。
在上述请求中,攻击者使用"alpine"镜像创建了一个容器。攻击者还使用"chroot"将容器的根目录更改为"/mnt",同时使用"Binds":["/:/mnt"]选项。攻击者使用此命令将主机的根目录(/:)挂载到容器内的/mnt目录。这意味着容器可以访问和修改主机的文件系统,就像它是自己文件系统的一部分一样。通过这样做,攻击者可以提升权限并可能获得对主机系统的控制。
在容器创建请求中,攻击者下载了Gafgyt僵尸网络二进制文件(文件名为"rbot")并执行它。在检查二进制文件时,我们发现它包含硬编码的命令和控制服务器IP地址和端口。
如果与C2C&C服务器的通信成功,恶意机器人会解析响应并使用UDP、TCP和HTTP发起DDoS攻击。
如果容器创建请求失败且攻击者无法创建容器,攻击者会尝试基于相同的alpine Docker镜像部署另一个容器,但这次攻击者尝试使用不同的Gafgyt二进制文件,使用"atlas.i586"作为二进制文件名。观察到的容器创建请求如下。
在上述请求中,攻击者使用chroot和bind命令提升权限,就像前一个实例一样,并在受害者系统上部署了文件名为"atlas.i586"的僵尸网络二进制文件。这里有趣的一点是参数"0day.“虽然我们找不到证据表明它利用了任何0day漏洞,但我们认为这只是在执行僵尸网络时给出的参数。
该机器人由与前一个相同的C&C服务器控制。当使用参数Name:0day执行时,它会接收来自服务器的响应。基于服务器响应,它执行各种操作,主要是使用不同协议(如UDP、ICMP、HTTP、SYN等)执行分布式拒绝服务(DDoS)攻击。
它还尝试查找受害者主机的本地IP地址。
本质上,代码使用Google的DNS服务器8.8.8.8作为目标IP,以确定系统将使用哪个网络接口和本地IP地址进行出站通信。一旦创建了套接字并尝试连接到端口53上的8.8.8.8,函数调用getsockname()来检索将用于与Google DNS服务器通信的接口的本地IP地址。
在容器部署尝试失败的情况下,攻击者再次尝试通过部署shell脚本来部署另一个变体的Gafgyt僵尸网络二进制文件,该脚本下载并执行不同系统架构的僵尸网络二进制文件。
在上述请求中,攻击者使用相同的技术,在创建docker容器时使用"chroot"和"Bind"提升权限。这次,攻击者使用名为"cve.sh"的shell脚本部署托管在攻击者C&C服务器178[.]215[.]238[.]31上的各种系统架构的僵尸网络二进制文件。这个shell脚本很简单,只包含僵尸网络二进制文件的URL;它下载并执行它们。
所有这些二进制文件都具有相同的硬编码C2服务器IP地址。
建议
我们建议采取以下步骤来增强Docker远程API服务器的安全性,并减轻与潜在恶意活动利用相关的风险:
- 通过实施强大的访问控制和身份验证机制来保护Docker远程API服务器,防止未经授权的访问
- 定期监控Docker远程API服务器的任何异常或未经授权的活动,并及时调查和处理任何可疑行为
- 实施容器安全最佳实践,例如避免使用"特权"模式,并在部署前仔细审查容器镜像和配置
- 教育并培训负责管理Docker远程API服务器的人员有关安全最佳实践和潜在攻击向量
- 及时了解Docker和相关软件的安全更新和补丁,以解决可能被威胁行为者利用的已知漏洞
- 定期审查和更新与Docker远程API服务器管理相关的安全策略和程序,以符合最新的安全最佳实践和建议
Trend Micro Vision One威胁情报
为了保持对不断演变的威胁的领先地位,Trend Micro客户可以在Trend Micro Vision One中访问一系列情报报告和威胁洞察。威胁洞察帮助客户在网络安全威胁发生之前保持领先,并更好地为新兴威胁做好准备。它提供关于威胁行为者、其恶意活动以及他们使用的技术的全面信息。通过利用这些情报,客户可以采取主动步骤保护其环境,减轻风险并有效应对威胁。
狩猎查询
Trend Micro Vision One客户可以使用搜索应用程序将本博客文章中提到的恶意指标与其环境中的数据匹配或狩猎。
Gafgyt恶意软件检测存在 - 反恶意软件 malName: Backdoor.Linux.GAFGYT* AND eventName: Malware_DETECTION
更多狩猎查询可供具有威胁洞察权限的Vision One客户使用
MITRE ATT&CK技术
| 战术 | 技术 | 技术ID |
|---|---|---|
| 初始访问 | 外部远程服务 | T113 |
| 执行 | 部署容器 | T1610 |
| 执行 | 命令和脚本解释器:Unix Shell | T1059.04 |
| 权限提升 | 逃逸到主机 | T1611 |
| 命令和控制 | 应用层协议 | T1071 |
| 命令和控制 | 入口工具传输 | T1105 |
| 发现 | 系统网络配置发现 | T1016 |
| 影响 | 网络拒绝服务 | T1498 |
危害指标(IOC)
危害指标可以在此处找到:[相关链接]