fbpx

CL LAB

HOME > Docker > CL LAB > 脅威:攻撃者が悪意あるイメージをホスト上に直接ビルド #aqua #コンテナ #セキュリティ #マイニング #動的分析 #docker

(Japanese text only.) 脅威:攻撃者が悪意あるイメージをホスト上に直接ビルド #aqua #コンテナ #セキュリティ #マイニング #動的分析 #docker

 ★ 7

//185[...]10[.]68[..]147/dock/main[...]sh)。

  • GETリクエストを送信して、イメージがターゲットホスト上に正常に構築されたことを確認します。
  • 攻撃者が先ほど構築した新しいイメージに基づいてコンテナを作成するためのPOSTリクエストを送信します。
  • GET リクエストを送信して、ホスト上で実行中のコンテナのリストを受信します。
  • コンテナを実行するための POST リクエストを送信します。

    コンテナは、ビルド中にリモートソースからダウンロードしたシェルスクリプトの実行を目的としたコマンドで起動します。/bin/sh -c ash /main.sh

    シェルスクリプトmain.shは、XMRIGという名前のELFファイルをダウンロードして実行するように設計されていました。

    このファイルはVirus Totalによって悪意のあるファイルに分類されており、クリプトカレンシーを採掘してホストからリソースを乗っ取るように設計されています。

    まとめ


    今回のブログでは、誤って設定されたDocker APIを攻撃するために新しい手法を使った敵対者について報告しました。そのイメージはターゲットホスト上に直接構築され、クリプトマイナを使ってリソースハイジャック攻撃を実行したものでした。これは、クラウドネイティブ環境に対する攻撃がここ数年の間に超高速に進化したことを示すものです。これらの新しく大胆な攻撃は、より良い、より強力なソリューションを防御者のツールボックスに入れることの重要性を強調しています。

    この場合、悪意のあるコンテナイメージの予備的な脅威情報は、イメージがリモートソースから取得されていないため、意味がありません。イメージは標準的なアルパインのベースイメージに基づいて構築されており、ほとんどの場合、良性のものとしてマークされるため、スタティック スキャナでは期待した結果は得られません。ネットワークレベルの検出/予防セキュリティスキャンでは、攻撃者のC2との通信を実際にブロックし(185[.]10[.]68[..]147)、スクリプトmain.shと悪意のあるバイナリのダウンロードを防ぐことができます。

    この種の脅威に対する最良のソリューションは、継続的な動的脅威分析のスキャンにあると私たちは信じています。Docker Hubと組織のサーバー上のすべてのイメージを動的にスキャンすることで、クラウドに潜む隠れた脅威に明るい光を当てることができます。

    New call-to-action //185[.]10[.]68[.]147/dock/main[.]sh)。

  • GET リクエストを送信して、イメージがターゲットホスト上に正常にビルドされたことを確認します。
  • 攻撃者が先ほどビルドした新しいイメージに基づいてコンテナを作成するための POST リクエストを送信します。
  • GET リクエストを送信して、ホスト上で実行中のコンテナのリストを受信します。
  • コンテナを実行するための POST リクエストを送信します。

    コンテナは、ビルド中にリモートソースからダウンロードしたシェルスクリプトの実行を目的としたコマンドで起動します。/bin/sh -c ash /main.sh

    シェルスクリプトmain.shは、XMRIGという名前のELFファイルをダウンロードして実行するように設計されていました。

    このファイルはVirus Totalによって悪意のあるファイルに分類されており、クリプトカレンシーを採掘してホストからリソースを乗っ取るように設計されています。

    まとめ


    今回のブログでは、誤って設定されたDocker APIを攻撃するために新しい手法を使った敵対者について報告しました。そのイメージはターゲットホスト上に直接構築され、クリプトマイナを使ってリソースハイジャック攻撃を実行したものでした。これは、クラウドネイティブ環境に対する攻撃がここ数年の間に超高速に進化したことを示すものです。これらの新しく大胆な攻撃は、より良い、より強力なソリューションを防御者のツールボックスに入れることの重要性を強調しています。

    この場合、悪意のあるコンテナイメージの予備的な脅威情報は、イメージがリモートソースから取得されていないため、意味がありません。イメージは標準的なアルパインのベースイメージに基づいて構築されており、ほとんどの場合、良性のものとしてマークされるため、スタティック スキャナでは期待した結果は得られません。ネットワークレベルの検出/予防セキュリティスキャンでは、攻撃者のC2との通信を実際にブロックし(185[.]10[.]68[..]147)、スクリプトmain.shと悪意のあるバイナリのダウンロードを防ぐことができます。

    この種の脅威に対する最良のソリューションは、継続的な動的脅威分析のスキャンにあると私たちは信じています。Docker Hubと組織のサーバー上のすべてのイメージを動的にスキャンすることで、クラウドに潜む隠れた脅威に明るい光を当てることができます。

    New call-to-action
  • CL LAB Mail Magazine

    CL LABの情報を逃さずチェックしよう!

    メールアドレスを登録すると記事が投稿されるとメールで通知します。

    メールアドレス: 登録

    ※登録後メールに記載しているリンクをクリックして認証してください。

    Related post