Docker-APIs für Kryptowährungs-Miner missbraucht
Eine Malware-Kampagne zielt auf öffentlich zugängliche Docker-API-Endpunkte ab, um Kryptowährungs-Miner und andere Schadsoftware zu verbreiten.
Zu den in der neuen Docker-Kampagne verwendeten Tools gehört ein Fernzugriffsprogramm, das weitere bösartige Software herunterladen und ausführen kann, sowie ein Dienstprogramm zur Verbreitung der Malware über SSH. Das berichtete kürzlich die Cloud-Analyseplattform Datadog.
Die Analyse der Kampagne zeigte taktische Ähnlichkeiten mit einer früheren Aktivität namens Spinning YARN, bei der falsch konfigurierte Apache Hadoop YARN-, Docker-, Atlassian Confluence- und Redis-Dienste für Kryptojacking-Angriffe genutzt wurden.
Der Angriff beginnt damit, dass die Angreifer Docker-Server mit ungeschützten Ports (Portnummer 2375) ins Visier nehmen. Sie starten eine Reihe von Schritten, die mit der Erkundung und Erweiterung der Zugriffsrechte beginnen, bevor sie zur Ausnutzung übergehen. Die Schadsoftware wird von der gegnerischen Infrastruktur abgerufen, indem ein Shell-Skript namens „vurl“ ausgeführt wird. Dieses Skript führt mit „b.sh“ ein weiteres Shell-Skript aus, das die Base64-kodierte Binärdatei „vurl“ entpackt und ein drittes Shell-Skript mit der Bezeichnung „ar.sh“ (oder „ai.sh“) herunterlädt und startet.
„Das Skript ‚b.sh‘ dekodiert und extrahiert die Binärdatei nach /usr/bin/vurl und überschreibt dabei die vorhandene Shell-Skriptversion“, erklärt Sicherheitsexperte Matt Muir. „Diese Binärdatei unterscheidet sich von der Shell-Skript-Version durch fest kodierte Befehls- und Kontroll-Domänen.“
Das Shell-Skript „ar.sh“ führt verschiedene Aktionen aus, darunter die Einrichtung eines Arbeitsverzeichnisses, die Installation von Tools zum Scannen des Internets nach verwundbaren Hosts, die Deaktivierung der Firewall und schließlich das Herunterladen der nächsten Schadprogramme – in diesem Fall die Datei „chkstart“.
Es handelt sich um eine Golang-Binärdatei wie „vurl“. Ihr Hauptziel ist es, den Host für den Fernzugriff zu konfigurieren und zusätzliche Tools, einschließlich „m.tar“ und „top“ (ein XMRig-Miner), von einem entfernten Server herunterzuladen.
„In der ursprünglichen Spinning YARN-Kampagne wurde ein Großteil der chkstart-Funktionalität durch Shell-Skripte ausgeführt“, so Muir. „Die Portierung dieser Funktionalität auf Go-Code könnte darauf hindeuten, dass der Angreifer den Analyseprozess erschweren will, da die statische Analyse von kompiliertem Code viel schwieriger ist als bei Shell-Skripten.“ Zusätzlich zu „chkstart“ werden zwei weitere Payloads heruntergeladen: „exeremo“, das verwendet wird, um sich seitlich auf weitere Hosts zu bewegen und die Infektion zu verbreiten, und „fkoths“, eine Go-basierte ELF-Binärdatei, die Spuren der bösartigen Aktivität verwischt und sich der Analyse widersetzt.
„Exeremo“ ist außerdem so konzipiert, dass es ein Shell-Skript („s.sh“) ablegt, das verschiedene Scan-Tools wie pnscan, masscan und einen benutzerdefinierten Docker-Scanner („sd/httpd“) installiert, um anfällige Systeme zu markieren.
„Dieses Update der Spinning YARN-Kampagne zeigt, dass Angreifer weiterhin falsch konfigurierte Docker-Hosts nutzen, um sich Zugang zu verschaffen“, erklärt Muir. „Der Angreifer verbessert die eingesetzte Malware, indem er Funktionen in Go-Code umschreibt. Das könnte darauf hindeuten, dass er den Analyseprozess erschweren oder Multi-Architektur-Builds ausprobieren möchte.“