在最近一次攻擊中，網(wǎng)絡(luò)犯罪團(tuán)伙teamtnt依靠一種合法工具避免將惡意代碼部署在受感染的云基礎(chǔ)架構(gòu)上，但仍能牢牢地控制該云基礎(chǔ)架構(gòu)。
他們使用了一種專門為監(jiān)測和控制安裝有docker和kubernetes的云環(huán)境而開發(fā)的開源工具，減小了在中招服務(wù)器上的資源占用空間。
濫用開源工具
intezer的研究人員分析攻擊后發(fā)現(xiàn)，teamtnt安裝了weave scope開源工具，以全面控制受害者的云基礎(chǔ)架構(gòu)。
據(jù)研究人員聲稱，這可能是合法的第三方工具頭一次被濫用、在云環(huán)境起到后門的作用，這也表明這個(gè)攻擊團(tuán)伙的手段日益高明。
weave scope與docker、kubernetes、分布式云操作系統(tǒng)（dc/os）和aws elastic compute cloud（ecs）無縫集成起來。它提供了完整的視圖，直觀顯示了服務(wù)器上的進(jìn)程、容器和主機(jī)，可控制已安裝的應(yīng)用程序。
intezer在一份報(bào)告中指出：“攻擊者安裝該工具是為了直觀地呈現(xiàn)受害者的云環(huán)境，并執(zhí)行系統(tǒng)命令，無需在服務(wù)器上部署惡意代碼。”
研究人員在描述來自該事件的攻擊流時(shí)表示，teamtnt是通過一個(gè)公開的docker api趁虛而入的。這使他們得以創(chuàng)建一個(gè)干凈的ubuntu容器，該容器被配置成可安裝在受害者的服務(wù)器上，進(jìn)而訪問主機(jī)上的文件。
然后，攻擊者利用提升的權(quán)限設(shè)置了一個(gè)名為“hilde”的本地用戶，并使用該用戶通過ssh連接至服務(wù)器。安裝weave scope是攻擊的下一步，僅需三個(gè)命令即可完成下載、對(duì)scope應(yīng)用程序設(shè)置權(quán)限并發(fā)動(dòng)攻擊這一系列操作。
借助服務(wù)器上的這個(gè)實(shí)用程序，teamtnt可以通過http經(jīng)由端口4040（scope應(yīng)用程序端點(diǎn)的默認(rèn)端口）連接至weave scope儀表板，從而獲得控制權(quán)。
研究人員表示，如果關(guān)閉了docker api端口或?qū)嵤┝耸芟拊L問策略，本可以避免這種罕見的情形。
另一個(gè)配置不當(dāng)是允許從網(wǎng)絡(luò)外部連接到weave scope儀表板。該工具的說明文檔清楚地闡明不要讓端口4040可通過互聯(lián)網(wǎng)來訪問。
5月初teamtnt引起了安全研究人員的注意，malwarehunterteam在推文中提到了這個(gè)加密貨幣挖掘團(tuán)伙；而趨勢科技披露，攻擊者掃描了整個(gè)互聯(lián)網(wǎng)，以查找敞開的docker守護(hù)程序端口。
上個(gè)月，總部位于英國的cado security公司發(fā)布了一份報(bào)告，有證據(jù)表明teamtnt的加密貨幣挖掘蠕蟲還可以從docker和kubernetes實(shí)例中竊取aws登錄信息和配置文件。


阿里云服務(wù)器公共鏡像怎么選的
最便宜的高香港防云服務(wù)器
郵箱從點(diǎn)開始訪問超時(shí)時(shí)不時(shí)可以打開
網(wǎng)站未被百度收錄-虛擬主機(jī)/數(shù)據(jù)庫問題
我們需要將升級(jí)到以上請給一個(gè)升級(jí)操作鏈接
在建立堡壘主機(jī)時(shí)
云計(jì)算有哪些主要的服務(wù)形式
下載文件損壞與內(nèi)存有關(guān)嗎圖文教程