Serangan Rantai Pasokan Menggunakan Gambar Kontainer

  • Whatsapp
Serangan Rantai Pasokan Menggunakan Gambar Kontainer

 

Menurut perusahaan keamanan siber Aqua Security, teknik penambangan kripto yang baru ditemukan menggunakan gambar Docker berbahaya untuk mengambil alih sumber daya komputasi perusahaan untuk menambang bitcoin.
Foto-foto tersebut dipublikasikan ke repositori resmi Docker Hub. Para peneliti menemukan lima gambar kontainer Docker Hub yang dapat digunakan dalam serangan rantai pasokan terhadap sistem cloud-native. Pengembang menggunakan Docker, penyedia wadah platform-sebagai-layanan terkemuka untuk perangkat Linux dan Windows, untuk membantu mereka membangun dan mengemas aplikasi.
Menurut Assaf Morag, analis data utama di Aqua Security, para peneliti menemukan gambar yang terinfeksi selama pemeriksaan manual rutin mereka.
“Kami secara teratur membagikan informasi semacam ini dengan Docker Hub dan registri atau repositori publik lainnya (GitHub, Bitbucket, dll),” kata Morag.
“Berdasarkan informasi yang kami bagikan dengan Docker Hub, mereka melakukan penyelidikan dan memutuskan apakah mereka akan menutup namespace atau tidak. Dalam kasus khusus ini, mereka menutup namespace ini pada hari yang sama saat kami menghubungi mereka. Reaksi dan tanggapan Docker Hub waktu benar-benar menakjubkan.”
Tiga kontainer pertama yang ditemukan oleh para peneliti – thanhtudo, thieunutre, dan chanquaa – meluncurkan skrip Python dao.py, yang telah digunakan dalam berbagai kampanye sebelumnya untuk mengaburkan gambar kontainer berbahaya di Docker Hub melalui kesalahan ketik. Nama dari dua gambar kontainer lainnya adalah openjdk, dan golang adalah.
“Kami belum melihat indikasi bahwa mereka digunakan dalam serangan di alam liar, tetapi itu tidak berarti bahwa mereka digunakan atau tidak. Tujuan kami adalah untuk menyinari gambar kontainer ini dengan nama yang menyesatkan, mengatakan bahwa mereka mengandung cryptominer yang dieksekusi setelah Anda menjalankan wadah, meskipun tidak ada indikasi di namespace bahwa ini adalah tujuan dari gambar wadah ini.”
Kontainer berbahaya ini dirancang agar mudah disalahartikan sebagai gambar kontainer yang sah, meskipun akun Docker Hub yang bertanggung jawab untuk itu bukanlah akun resmi.
“Begitu dijalankan, mereka mungkin terlihat seperti wadah yang tidak bersalah. Setelah dijalankan, xmrig biner dijalankan (MD5: 16572572588c2e241225ea2bf6807eff), yang membajak sumber daya untuk penambangan cryptocurrency,” tambah para peneliti.
“Saya kira Anda tidak akan pernah masuk ke halaman web mybunk[.]com, tetapi jika penyerang mengirimi Anda tautan ke namespace ini, itu mungkin saja terjadi,” katanya.
Meskipun tidak diketahui siapa yang mengatur penipuan, menurut penelitian, akun Docker Hub yang curang dihapus ketika Aqua Security memberi tahu Docker. Menurut Morag, wadah ini tidak dikendalikan secara langsung oleh peretas, tetapi skrip di titik masuk/cmd dirancang untuk meluncurkan serangan otomatis. Serangan, dalam hal ini, terbatas pada mencuri sumber daya komputasi untuk menambang bitcoin.
Morag menambahkan, “Ketika seseorang menjalankan gambar kontainer ini, ada skrip yang ‘memuat’ konfigurasi penambangan dan mengeksekusi biner yang dirancang untuk berkomunikasi dengan kumpulan penambangan dan mengeksekusi skrip penambangan kripto. Dalam semua kasus – XMRIG.”
Penyerang semakin menargetkan rantai pasokan perangkat lunak, dan mereka semakin baik dalam menyembunyikan serangan mereka. Akibatnya, bisnis harus memperkuat keamanan mereka untuk mengurangi kemungkinan menjadi korban serangan semacam itu. Berikut adalah beberapa saran untuk membantu meningkatkan postur keamanan oleh Aqua Security:
1. Kontrol akses ke registri publik: Saat menjalankan kontainer dari registri publik, anggap registri sebagai sumber berisiko tinggi untuk serangan rantai pasokan. Penyerang mencoba menipu pengembang agar secara tidak sengaja mengambil gambar kontainer berbahaya dengan menyamarkannya sebagai gambar populer. Buat registry internal yang dikuratori untuk image container dasar guna meminimalkan risiko, dan membatasi siapa yang dapat mengakses registry publik. Terapkan kebijakan untuk memastikan bahwa gambar penampung diverifikasi sebelum ditambahkan ke registri internal.
2. Pindai gambar kontainer untuk malware menggunakan analisis statis dan dinamis: Ketika perusahaan menggunakan pemindaian statis, berbasis tanda tangan atau pola, serangan canggih dapat dengan mudah menghindari deteksi. Pelaku ancaman, misalnya, mungkin menghindari deteksi dengan menyematkan kode dalam gambar penampung yang hanya mengunduh malware selama eksekusi.
3. Menandatangani gambar kontainer secara digital atau menggunakan langkah-langkah integritas gambar lainnya Hal ini membantu untuk menjamin bahwa gambar kontainer yang digunakan sama dengan yang ditinjau dan disetujui.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *