fbpx

CL LAB

HOME > CL LAB > AquaSecurity > 脅威アラート:進化する「Autom」クリプトマイニングキャンペーンの攻撃手法 #aqua #セキュリティ #コンテナ #クリプトマイニング #autom

脅威アラート:進化する「Autom」クリプトマイニングキャンペーンの攻撃手法 #aqua #セキュリティ #コンテナ #クリプトマイニング #autom

 ★ 15

//185[.]164[.]72[.]119/ip.php?ip=$ip)。

上記の手順により、侵害されたホスト上で敵対者に永続性を与えるバックドアが作成されます。これは、SSH接続を確立するために必要なユーザー名、パスワード、およびIPアドレスによって実現されました。

上記のMITREのフレームワークにマッピングされた攻撃のキルチェーンは、敵対者が3年間にわたり同じ戦術を使用していたことを示しています。彼らは同じ初期アクセスを使用し、autom.shシェルスクリプトを実行し、侵害されたホスト上で永続性を得るためにユーザーアカウントを作成し、最終的に攻撃の目的である暗号通貨の採掘を達成しました。

How the Autom campaign evolved

敵が発見されないようにするための戦術に、キャンペーンの進行が見て取れます。2019年、この攻撃では、クリプトマイニング活動を隠すための特別な技術は使われていませんでした。2020年、敵対者は自分たちを隠そうとし、そのためセキュリティ機構を無効化しました。最初は、ユーザーがサービスへのアクセスを許可または拒否することができるufw(Uncomplicated Firewall)を無効にしました。その後、回復不可能なハードウェア・エラーの注意を促すために通常発生し、システムのリセットを監視するために使用される最優先の割り込みであるNMI(ノンマスカブル割り込み)を無効化しました。

2021年、敵対者は新たな手法を追加しました。クリプトマイニング活動を隠すために、彼らはリモートサーバーから難読化されたシェルスクリプトをダウンロードしました。彼らは、セキュリティツールがスクリプトを読み、その背後にある意図を理解することを防ぐために、base64で5回エンコードしました。このスクリプトを解読することで、マイニングの実態が明らかになりました。

さらに、敵対者は隠蔽機能を追加していました。これは、log_rotate.binスクリプトをダウンロードし、侵害されたホスト上で55分ごとにマイニングを開始する新しいcronジョブを作成することによって、クリプトマイニング活動を開始させるというものです。

この数年間、このシェルスクリプトは5つのサーバーからダウンロードされました。

上のグラフは、2019年から2021年にかけて、リモートサーバーからシェルスクリプトがダウンロードされた回数を示しています。2020年のダウンロード回数が最も多かったのは、リモートサーバー88[.]218[.]17[.]151で、このサーバーは2020年と2021年に発生した他の24件の攻撃でも攻撃者のホストとして使用されていることがわかります。

2021年には、ハニーポットに対する攻撃は減少しました。しかし、Shodanを使用して攻撃を検索すると、攻撃が鈍化していないことがわかりました。2021年第3四半期には、悪意のあるシェルスクリプトをダウンロードするために同じサーバー(88[.]218[.]17[.]151)を使用した125件の攻撃が野放しになっているのを確認しました。

私たちのハニーポットに対するこの攻撃の減少は、攻撃者がハニーポットを特定したため、2021年に攻撃の量を減らしたことを意味するのかもしれません。攻撃の背後にいるグループは、攻撃表面を拡大し、攻撃を広めるためのスキルを身につけたと思われます。

Protecting against evolving threats

今回のAutomキャンペーンは、攻撃者がより巧妙になり、そのテクニックやセキュリティ・ソリューションによる検出を回避する能力を絶えず向上させていることを物語っています。組織は、常に進化し、姿を変えていく攻撃から身を守るために、脅威の状況を常に把握しておく必要があります。

Autom攻撃や類似の脅威から身を守るために、コンテナ環境を扱う際には、以下のベストプラクティスに従うことをお勧めします。

動的な画像解析を行う。動的画像解析ツールは、静的スキャナでは見逃されがちな、コンテナ画像に潜む巧妙な脅威を検出するのに役立ちます。Aqua DTA (Dynamic Threat Analysis) は、コンテナイメージを安全なサンドボックスで実行し、本番環境にプッシュする前にその挙動を分析することで、コンテナイメージ内の悪質な要素を発見します。

コンテナ動作の監視 コンテナの監視は、問題を迅速に軽減し、混乱を最小限に抑えるための基本的な実践方法です。この監視プロセスは、疑わしい活動(悪意のあるスクリプトのダウンロードなど)が発生する可能性のあるランタイム環境にも適用されます。

今回のAutomキャンペーンでは、攻撃者は設定ミスのあるDocker APIを悪用して、バニラのコンテナイメージalpine:latestを実行させました。ほとんどの組織では、このイメージの実行を許可していたことでしょう。AquaのCNDRのようなランタイム保護ソリューションは、ランタイム中に未知の脅威や疑わしい挙動を検出するように設計されています。さらに、ドリフト防止は、ランタイム中にリモートソースからダウンロードされた、元のコンテナイメージの一部ではないファイルの実行をブロックしていたことでしょう。

APIが誤って設定されていないか、環境を確認してください。クラウドセキュリティポスチャ管理(CSPM)ソリューションは、設定の問題を修正し、全体的なセキュリティポスチャを強化することができます。

安全でないインバウンドまたはアウトバウンドの通信と、環境内の無制限のネットワークトラフィックを制限する。Aquaプラットフォームを使用すると、ノード、クラスタ、およびホスト間で許容されるトラフィックを決定するためのマイクロセグメンテーションポリシーと、ワークロードの実行を許可するために存在しなければならないKubernetes設定を指示するKubernetes保証ポリシーを設定することができます。

IOC’s table

Autom.sh

  • Md5 c5968e2332b488076f592535c0be2473
  • Md5 87e4701ccb615adc2abc82d9282d65a1
  • Md5 87e4701ccb615adc2abc82d9282d65a1

log_rotate_bin

  • Md5 fb1fde1f28b2743b0f4cbb60609df95a
  • Md5 1a882366d180331e5ffcb973719312d9
  • Md5 ced5e2d876e8264beeade2efca075f09

New call-to-action

CL LAB Mail Magazine

CL LABの情報を逃さずチェックしよう!

メールアドレスを登録すると記事が投稿されるとメールで通知します。

メールアドレス: 登録

※登録後メールに記載しているリンクをクリックして認証してください。

Related post