Los ciberdelincuentes apuntan cada vez más a servidores API remotos Docker expuestos para implementar malware perfctl, lo que representa una amenaza significativa para las organizaciones que dependen de entornos en contenedores.
Estos ataques implican secuencias de sondeo estructuradas, creación de contenedores y ejecución de carga útil para explotar vulnerabilidades en las configuraciones de Docker.
Trend Micro ha observado que los ataques comienzan cuando los piratas informáticos envían solicitudes de ping para localizar servidores Docker Remote API vulnerables. Una vez identificado, el atacante comienza a crear contenedores Docker con configuraciones específicas diseñadas para facilitar una mayor explotación.
Por ejemplo, un contenedor llamado 'kube-edagent' se establece a partir de la imagen 'ubuntu:mantic-20240405' y se configura con un modo privilegiado de 'pid mode: host'.
Esta configuración permite que el contenedor comparta el espacio de nombres de ID de proceso (PID) del host, lo que brinda al atacante visibilidad y control sobre el proceso del host.
Únase al seminario web gratuito de ANY.RUN sobre cómo mejorar su investigación de amenazas el 23 de octubre: regístrese aquí
Ejecutando la carga útil en Docker
Una vez que el contenedor se crea con éxito, el atacante utiliza la API Docker Exec para ejecutar una carga útil codificada en Base64.
flujo de ataque
La carga útil comienza escapando del entorno del contenedor mediante el comando 'nsenter' y apunta al espacio de nombres del host para obtener privilegios elevados. El script decodificado realiza algunas acciones maliciosas.
Gestión de procesos: busca procesos duplicados para evitar la detección, crea un script bash llamado “kubeupd'' en el directorio “/tmp'' y establece variables de entorno para que coincidan con la infraestructura del atacante.
Implementación de un binario malicioso: este script descarga un binario malicioso disfrazado de extensión PHP, lo que dificulta su detección según la extensión del archivo.
Si el binario coincide con ciertos criterios, comenzará a cambiar la configuración del sistema, actualizará las variables de entorno, ejecutará más comandos maliciosos en segundo plano y leerá informes de Trend Micro.
Mecanismos de persistencia: para mantener el acceso, el malware establece persistencia mediante la creación de un servicio systemd o un trabajo cron para garantizar que el proceso malicioso sobreviva y permanezca activo durante los reinicios del sistema.
Los incidentes recientes resaltan la gravedad del abuso del servidor Docker Remote API. En un caso notable, un atacante desconocido implementó un minero de criptomonedas utilizando el método descrito.
Al aprovechar configuraciones de contenedores privilegiadas y cargas útiles sofisticadas, los atacantes pudieron comprometer los sistemas host, utilizar sus recursos para actividades maliciosas y evadir la detección mediante diversas técnicas de ofuscación.
El uso de herramientas como Tor para redirigir el tráfico complica aún más la detección e identificación, como se ve con la participación de los nodos de retransmisión Tor en el tráfico de red asociado con malware.
Este nivel de sofisticación representa una tendencia creciente en los ataques dirigidos contra entornos en contenedores, lo que destaca la necesidad de medidas de seguridad sólidas.
Prevención y recomendaciones
Para reducir los riesgos asociados con los servidores API remotos de Docker expuestos, las organizaciones deben implementar las siguientes medidas de seguridad:
Control de acceso seguro: aplique mecanismos de autenticación sólidos para limitar el acceso a los servidores API remotos de Docker al personal autorizado. No exponga estas API a la Internet pública sin las medidas de seguridad adecuadas.
Monitoreo regular: monitoree continuamente su entorno Docker para detectar actividades inusuales o intentos de acceso no autorizados. Implemente sistemas de detección de intrusiones para identificar y responder rápidamente a amenazas potenciales.
Mejores prácticas de seguridad de contenedores: evite ejecutar contenedores en modo privilegiado y examine cuidadosamente las imágenes y configuraciones de los contenedores antes de la implementación. Emplee el principio de privilegio mínimo para minimizar su superficie de ataque.
Manténgase actualizado: mantenga Docker y el software relacionado actualizados con los últimos parches de seguridad para protegerse contra vulnerabilidades conocidas. Revise y actualice periódicamente sus políticas de seguridad para mantenerse al día con el panorama de amenazas en evolución.
Capacitación de empleados: eduque y capacite al personal responsable de administrar los entornos Docker sobre las mejores prácticas de seguridad y nuevos vectores de ataque para garantizar que estén preparados para posibles amenazas.
La explotación de un servidor API remoto Docker expuesto para implementar malware perfctl resalta la necesidad crítica de una mayor seguridad en la infraestructura en contenedores.
Al comprender las secuencias de ataques e implementar medidas de seguridad sólidas, las organizaciones pueden reducir significativamente el riesgo de estos ciberataques avanzados.
La supervisión proactiva, los controles de acceso estrictos y el cumplimiento de las mejores prácticas de seguridad son esenciales para proteger su entorno Docker de las amenazas en evolución.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
