Buzz
Nhớ lại đầu năm nay, các phương tiện truyền thông liên tục cảnh báo về việc kẻ tấn công sử dụng các hệ thống Docker và Kubernetes không an toàn để triển khai các container, từ đó thực hiện đào tiền ảo.
API Docker lại được sử dụng để đào tiền ảo trái phép
Đối với những người dùng chưa biết, container là các bộ đóng gói ứng dụng và tất cả các yêu cầu cần thiết để chạy ứng dụng đó. Sau đó, các bộ đóng gói này có thể được triển khai dưới dạng container trên các hệ thống Docker hoặc Kubernetes khi cần.
Container Docker được triển khai trên nền tảng được gọi là Docker Engine, nơi chúng sẽ chạy cùng với các container khác trên nền background.
Nếu Docker Engine không được bảo mật đúng cách, kẻ tấn công có thể sử dụng API Docker Engine từ xa để triển khai các container với cài đặt riêng và chạy chúng trên hệ thống không an toàn.
Mới đây, nhóm nghiên cứu của Trend Micro đã phát hiện kẻ tấn công đang quét các API Docker Engine bị rò rỉ và sử dụng chúng để triển khai các container chứa các trình tải xuống và thực thi mã độc khai thác tiền ảo.
Khi các container được triển khai và kích hoạt, chúng sẽ chạy script auto.sh để tải về trình đào Monero và cấu hình để tự động chạy. Script này sẽ tải về phần mềm quét cổng để quét các API Docker Engine khác dễ bị tổn thương trên các cổng 2375 và 2376 để lây nhiễm trên hệ thống.
Máy chủ có thể nhìn thấy tất cả các mạng được quét, với tốc độ quét 50.000/giây trên các cổng 2375 và 2376, kết quả được lưu trong file local.txt (ẩn danh):
masscan '$@' -p2375,2376 -rate=50000 -oG local.txt;
Quá trình lây nhiễm được thực hiện bằng cách lợi dụng nhiều máy chủ được tìm thấy trước đó:
sudo sed -i 's/^Host: \([0-9.]*\).*Ports: \([0-9]*\).*$/\1:\2/g' local.txt;
sudo sh test3.sh local.txt;
Với phương pháp này, một loạt các container Docker Engine có thể được sử dụng để đào tiền ảo cho kẻ tấn công.
Ngăn chặn kẻ tấn công khai thác Docker Engine
Việc sử dụng API Docker Engine không còn là điều mới lạ, nhưng vấn đề trở nên quan trọng khi các quản trị viên hệ thống không thực hiện bảo vệ hệ thống của họ một cách đúng đắn. Để ngăn chặn kẻ tấn công khai thác Docker Engine không an toàn, Trend Micro đề xuất một số giải pháp sau đây cho các quản trị viên:
- Trung tâm An ninh Internet (CIS) cung cấp hướng dẫn hỗ trợ cho các quản trị viên hệ thống và nhóm nghiên cứu bảo mật thiết lập tiêu chuẩn để bảo vệ Docker của họ.
- Đảm bảo các container sử dụng hình ảnh đã được xác thực, được ký và từ kho lưu trữ đáng tin cậy (ví dụ như Docker Trusted Registry). Sử dụng công cụ quét hình ảnh tự động để xác minh quá trình.
- Thực hiện nguyên tắc của quyền tối thiểu. Ví dụ, hạn chế quyền truy cập vào daemon và mã hóa giao thức giao tiếp mà nó sử dụng để kết nối với mạng. Docker có hướng dẫn về cách bảo vệ ổ cắm daemon.
- Cấu hình số lượng container được phép sử dụng một cách chính xác.
- Kích hoạt tính năng bảo mật tích hợp trong Docker để bảo vệ khỏi các mối đe dọa. Docker cung cấp một số hướng dẫn về cách cấu hình các ứng dụng dựa trên Docker một cách an toàn.
Hiện nay, tiền ảo đang trở nên ngày càng phổ biến, có thể kể đến như Bitcoin hoặc Ethereum, là hai loại tiền mà người chơi đã đầu tư lớn từ trước đến nay, đã có không ít người trở nên giàu có từ Bitcoin và Ethereum.
Có nhiều sàn giao dịch tiền ảo giúp người chơi mua và bán các loại tiền như Bitcoin hoặc Ethereum, hầu hết các sàn giao dịch tiền ảo đều đặt uy tín lên hàng đầu, tuy nhiên, người chơi cũng cần cẩn trọng trong việc lựa chọn sàn phù hợp nhất với họ.
Bây giờ, Windows 10 Defender đã có khả năng chạy trong Hộp Cát, giúp người dùng trở nên an toàn hơn khi chương trình này có thể cô lập các mối đe dọa trong một môi trường Hộp Cát riêng, hoàn toàn không ảnh hưởng trực tiếp đến máy tính của họ.
