top of page
Buscar

Ataque de Cryptojacking Explora API do Docker para Formar Botnet Maliciosa

  • Foto do escritor: Diego Arantes
    Diego Arantes
  • 5 de out. de 2024
  • 3 min de leitura

Nos últimos anos, ataques de cryptojacking têm se tornado uma preocupação crescente para a segurança cibernética, e uma nova campanha explora a API do Docker Engine para incorporar servidores em uma botnet. O objetivo desta rede maliciosa é utilizar recursos de infraestrutura em nuvem para minerar criptomoedas, aumentando o lucro dos invasores à custa de recursos das vítimas. Este artigo detalha a natureza da ameaça, o modus operandi dos atacantes e as recomendações para proteger os ambientes Docker.


Sumário Executivo

Pesquisadores descobriram uma nova campanha de cryptojacking que explora vulnerabilidades na API do Docker Engine. Essa campanha tem como alvo principal ambientes de orquestração como Docker Swarm, Kubernetes e servidores SSH, onde os invasores conseguem se infiltrar e utilizar os recursos computacionais para minerar criptomoedas. Além disso, foram identificadas imagens maliciosas hospedadas no Docker Hub, revelando o uso da plataforma como vetor de distribuição.


Informações sobre a Ameaça

A campanha começa com o acesso inicial a um host Docker vulnerável, através de APIs expostas sem autenticação. Esse ponto de entrada é utilizado para criar contêineres maliciosos que executam scripts de inicialização, que, por sua vez, baixam e executam mineradores de criptomoedas.

A cadeia de ataque se desenvolve de forma complexa, movendo-se lateralmente pela infraestrutura comprometida. Os contêineres infectados propagam o malware para outros servidores Docker, Kubernetes e SSH, utilizando vulnerabilidades de segurança conhecidas. Além disso, os agentes de ameaça têm como alvo a API Kubelet do Kubernetes, permitindo comprometer recursos adicionais e implantar malware nos contêineres comprometidos.

O ataque é facilitado por uma série de ferramentas de varredura, como masscan e zgrab, que identificam endpoints vulneráveis. Após comprometer um sistema, os invasores montam o sistema de arquivos do host dentro de contêineres, executando comandos que iniciam o processo de mineração de criptomoedas utilizando o software XMRig.


Técnicas de Ocultação e Persistência

Os invasores utilizam técnicas avançadas de ocultação para garantir que suas atividades permaneçam despercebidas. Por exemplo, após a execução do script de inicialização, um ocultador de processos é baixado e registrado no sistema, ocultando o minerador XMRig de ferramentas de monitoramento comuns, como top e ps. Essa técnica é conhecida como Dynamic Linker Hijacking, e garante que o processo malicioso permaneça ativo em segundo plano, evitando a detecção.


Além disso, scripts de movimentação lateral permitem que o malware se espalhe para outros ambientes, explorando servidores Docker e Kubernetes adjacentes na mesma rede. Ferramentas como pnscan e scripts especializados, como spread_docker_local.sh, são usados para comprometer outros hosts.


Indicadores de Comprometimento (IoC)

Os pesquisadores identificaram uma série de indicadores de comprometimento (IoCs), incluindo hashes de arquivos maliciosos, URLs e endereços IP utilizados pelos atacantes. Alguns exemplos incluem:

  • MD5: 759dab644ec721df20b0307ece9bb8d7 (init.sh)

  • SHA256: e6985878b938bd1fba3e9ddf097ba1419ff6d77c3026abdd621504f5c4186441 (spread_kube_loop.sh)

Além disso, domínios e URLs maliciosas, como https://solscan.live/sh/init.sh e https://solscan.live/bin/xmrig, foram utilizados para hospedar as cargas úteis e scripts utilizados no ataque​(Ataque de cryptojacking…).


Recomendações de Mitigação

Para mitigar o risco dessa ameaça, é importante adotar as seguintes práticas de segurança:

  1. Educação e Treinamento: As equipes devem ser treinadas para reconhecer sinais de cryptojacking, como dispositivos lentos ou superaquecidos.

  2. Manutenção de Software: Todos os softwares de segurança, incluindo antivírus e firewalls, devem ser mantidos atualizados para bloquear atividades suspeitas.

  3. Monitoramento de Rede: Ferramentas de monitoramento devem ser usadas para detectar atividades anômalas e o uso indevido de recursos.

  4. Políticas de Segurança Rigorosas: Definir políticas claras para o uso de sistemas e redes, além de garantir que portas de API críticas não sejam expostas à internet sem autenticação.


Considerações Finais

O ataque que explora a API do Docker para formar botnets de cryptojacking é uma ameaça séria para ambientes de nuvem. A natureza complexa do ataque, que envolve a propagação lateral e a utilização de técnicas avançadas de ocultação, o torna difícil de detectar e mitigar. No entanto, com medidas preventivas e monitoramento constante, é possível proteger sistemas Docker e Kubernetes contra essa ameaça crescente.

 
 
 

Comments

Contate-nos

Obrigado(a)

Logo DMZ CAST
bottom of page