spot_img
13.9 C
São Paulo
spot_img
HomeTop Global NewsAIAlerta: Ataques em Servidores Docker Aumentam!

Alerta: Ataques em Servidores Docker Aumentam!

Alerta: Ataques em Servidores Docker Aumentam!
#CyberSecurity #Docker #Malware #Cryptojacking #API #gRPC #TrendMicro #XRP
Alegon
By Alegon

Intrusões em Servidores Docker: Análise da Exploração de API Remota

Atualmente, foi observado que atores maliciosos têm como alvo servidores de API remota do Docker para implantar o minerador de criptomoedas SRBMiner em instâncias comprometidas, de acordo com novas descobertas da Trend Micro.

“Neste ataque, o ator da ameaça utilizou o protocolo gRPC sobre h2c para evadir soluções de segurança e executar suas operações de mineração de criptomoedas no host Docker”, afirmaram os pesquisadores Abdelrahman Esmail e Sunil Bharti em um relatório técnico publicado recentemente.

Metodologia do Ataque

Processo de Descoberta

O ataque inicia-se com uma análise de descoberta, onde o atacante verifica a disponibilidade e a versão da API Docker, seguido de solicitações para upgrades de gRPC/h2c. O objetivo é realizar um pedido de upgrade de conexão para o protocolo h2c (ou seja, HTTP/2 sem a criptografia TLS).

Manipulação de Funcionalidades do Docker

O invasor também verifica os métodos gRPC que são projetados para realizar diversas tarefas relacionadas ao gerenciamento e operação de ambientes Docker, abrangendo, entre outros:

  • Verificações de saúde
  • Sincronização de arquivos
  • Autenticação
  • Gerenciamento de segredos
  • Encaminhamento SSH

Execução do Minerador de Criptomoedas

Uma vez que o servidor processa o pedido de upgrade de conexão, uma solicitação gRPC “/moby.buildkit.v1.Control/Solve” é enviada para criar um container. Este container é posteriormente utilizado para minerar a criptomoeda XRP com o payload do SRBMiner, que está disponível no GitHub.


Crypto Mining Attacks

“O ator malicioso neste caso aproveitou o protocolo gRPC sobre h2c, efetivamente contornando várias camadas de segurança para implantar o minerador de criptomoedas SRBMiner no host Docker e minerar a criptomoeda XRP de forma ilícita”

.

Exploração de outas Vulnerabilidades

A Trend Micro também relatou que observou atacantes explorando servidores de API remota do Docker expostos para implantar o malware perfctl. Essa campanha envolve a sondagem desses servidores, seguida pela criação de um container Docker utilizando a imagem “ubuntu:mantic-20240405” e executando um payload codificado em Base64.

Detalhes do Payload

O script em shell não apenas verifica e termina instâncias duplicadas de si mesmo, mas também cria um script bash que contém outro payload codificado em Base64. Este último é responsável por baixar um binário malicioso que se disfarça como um arquivo PHP (“avatar.php”) e entrega um payload denominado httpd, conforme relatado por uma publicação da Aqua no início deste mês.

Recomendações de Segurança

Para mitigar esses riscos, os usuários são aconselhados a:

  • Proteger servidores de API remota do Docker implementando controles de acesso robustos e mecanismos de autenticação
  • Monitorar servidores em busca de atividades incomuns
  • Implementar as melhores práticas de segurança em containers

#CyberSecurity #Docker #Malware #Cryptojacking #API #gRPC #TrendMicro #XRP

Fonte

Previous article
Segurança na Cadeia de Suprimento: Desafios e Oportunidades
Next article
Vulnerabilidade Crítica no Open Policy Agent Revelada!

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us