Còn nhớ hồi đầu năm nay các phương tiện truyền thông liên tục đưa tin và cảnh báo người dùng về việc kẻ tấn công sử dụng các hệ thống Docker và Kubernetes không an toàn để triển khai các container đã được sử dụng để khai thác tiền ảo.
API Docker lại được sử dụng để khai thác tiền ảo trái phép
Với người dùng chưa biết, container là các gói chứa ứng dụng và tất cả các phụ thuộc cần thiết để chạy ứng dụng đó. Sau đó các gói này có thể được triển khai dưới dạng container cho các hệ thống Docker hoặc Kubernetes khi cần thiết.
Docker container được triển khai trên nền tảng có tên là Docker Engine, tại đây chúng sẽ chạy trên nền background cùng các container khác được triển khai cho hệ thống.
Nếu Docker Engine không được bảo mật đúng cách, kẻ tấn công có thể sử dụng API Docker Engine từ xa để triển khai các container chứa các cài đặt được cấu hình riêng và chạy các cài đặt này trên hệ thống không an toàn.
Mới đây nhóm nghiên cứu của Trend Micro vừa phát hiện kẻ tấn công quét các API Docker Engine bị rò rỉ và sử dụng chúng để triển khai các container chứa trình tải xuống và thực thi khác thác tiền ảo.
Khi các container được triển khai và kích hoạt, nó sẽ khởi chạy script auto.sh để tải xuống trình khai thác Monero và cấu hình để chạy tự động. Script này sẽ tải xuống phần mềm quét cổng để quét các API Docker Engine khác dễ bị tổn thương trên các cổng 2375 và 2376 để lây nhiễm trên hệ thống.
Máy chủ có thể nhìn thấy tất cả các mạng được quét, với tốc độ quét 50.000/giây trên các cổng 2375 và 2376, kết quả được lưu trong file local.txt (ẩn danh):
masscan "$@" -p2375,2376 -rate=50000 -oG local.txt;
Quá trình lây nhiễm được thực thi bằng cách lạm dụng nhiều máy chủ được tìm thấy trước đó:
sudo sed -i 's/^Host: \([0-9.]*\).*Ports: \([0-9]*\).*$/\1:\2/g' local.txt;
sudo sh test3.sh local.txt;
Với phương thức trên, một loạt các Docker Engine container có thể tích lũy tiền ảo cho kẻ tấn công.
Ngăn chặn kẻ tấn công khai thác Docker Engine
Việc làm dụng API Docker Engine không còn là xa lạ, nhưng nó lại là vấn đề quan trọng vì các Admin hệ thống không thực hiện bảo vệ hệ thống của họ đúng cách. Để ngăn chặn kẻ tấn công khai thác Docker Engine không an toàn, Trend Micro đề xuất cho các Admin một số giải pháp dưới đây:
- Center for Internet Security (CIS) cung cấp tham chiếu hỗ trợ các Admin hệ thống và nhóm nghiên cứu bảo mật thiết lập chuẩn mực để bảo vệ Docker của họ.
- Đảm bảo các container sử dụng image đã được xác thực, được sign và từ registry tin cậy (chẳng hạn Docker Trusted Registry). Sự dụng công cụ quét image tự động để xác thực quá trình.
- Thực thi nguyên tắc đặc quyền tối thiểu. Chẳng hạn như hạn chế quyền truy cập daemom và mã hóa các giao thức giao tiếp mà nó sử dụng để kết nối với mạng. Docker có hướng dẫn về cách bảo vệ daemon socket.
- Cấu hình đúng cách số lượng container được phép sử dụng.
- Kích hoạt tính năng bảo mật được tích hợp trong Docker để bảo vệ chống lại các mối đe dọa. Docker cung cấp một số hướng dẫn về cách cấu hình các ứng dụng dựa trên Docker an toàn.
Hiện nay tiền ảo ngày càng phổ biến, có thể nhắc tới các đồng tiền ảo như Bitcoin hay Ethereum, đây là 2 loại tiền được người chơi đầu tư nhiều từ trước tới nay, đã không ít người làm giàu từ Bitcoin cũng như Ethereum rồi.
Có rất nhiều sàn giao dịch tiền ảo giúp người chơi mua và bán các loại tiền như Bitcoin hay Ethereum, hầu hết các sàn giao dịch tiền ảo đều đặt chất lượng uy tín lên hàng đầu, tuy nhiên, người chơi cũng nên thận trọng lựa chọn sàn phù hợp nhất với mình.
Giờ đây, Windows 10 Defender đã có thể chạy trong Sandbox giúp cho người dùng trở nên an toàn hơn khi chương trình này có thể cô lập mối đe doạ trong môi trường sanbox riêng, hoàn toàn không ảnh hưởng trực tiếp tới máy tính người dùng.