2019年以来,实施文件加密的网络攻击活动背后的黑客组织逐渐浮出水面。研究人员表示,这些活动都利用了设备上配置错误的DockerAPI,这使他们能够访问内部网络,并最终在受感染的主机上安装后门来挖掘加密货币。攻击技术是基于脚本的,被称为“Autom”,因为它利用文件“autom.sh”。AquasecResearch在周三发布的一份报告中写道,在活动活跃期间,攻击者一直在滥用API配置错误,但使用的规避策略各不相同。研究人员表示,自2019年以来,攻击者对Nautilus团队设置的蜜罐进行了84次攻击,其中2019年22次,2020年58次,2021年4次,直到研究人员于10月开始撰写报告。攻击。研究人员还报告说,虽然今年针对蜜罐的攻击数量显着减少,但根据Shodan搜索,针对错误配置的DockerAPI的攻击的总体趋势并没有。他们写道:“对我们蜜罐的攻击次数减少可能意味着攻击者已经识别出它们,因此减少了2021年的攻击量。”同样的攻击方法被用来实现他们的目标——加密文件。多年来攻击的最大变化是威胁行为者不断发展新方法来逃避检测。“我们已经看到该组织通过攻击者的检测规避技术取得了技术进步,”他们在报告中写道。他们说,自活动开始下载发起攻击的shell脚本以来,攻击者使用了五台不同的服务器。.研究人员写道:“网络攻击背后的组织似乎已经提高了攻击技能并扩大了攻击面以进行攻击。”Nautilus团队在2019年首次观察到这次攻击,当时在运行植物图像时执行了恶意命令,该图像下载了名为autom.sh的shell脚本,他们在报告中说。研究人员解释说,攻击者通常使用此图像和恶意命令来执行攻击,因为大多数组织信任这些图像并允许使用它们。他们写道,攻击者始终使用相同的攻击入口点,然后在远程服务器上执行它,搜索易受攻击的主机,并利用配置错误的DockerAPI。然后他们运行vanillamirrors和其他恶意shell通过两种方法创建用户——adduser(通过设置帐户的主文件夹和其他设置来添加用户)和useradd(用于添加用户的低级命令),其中用户名是akay.由于新创建的用户没有权限,威胁参与者通过使用“sudo”命令提升权限,然后将其转变为根用户,授予无限权限以运行任何sudoers文件。研究人员写道,这改变了sudo在目标机器上的工作方式,本质上使攻击者成为超级用户。然后攻击者会使用域名icanhazip[.com]获取被攻击主机的公网IP地址,并从服务器上删除下载的文件。研究人员写道,通过这一系列操作,攻击者成功安装了一个后门,使他们能够在受感染的主机上获得持久的特权,从而能够秘密地挖掘加密货币。绕过安全检查研究人员表示,自从Autom发起攻击以来,攻击者在入侵受害机器和实现持久性方面几乎没有改变,但他们改变了两件事——下载shell脚本autom.sh的服务器,以及特定的规避策略。关于后一点,Nautilus团队观察到该活动从2019年不使用技术来隐藏其攻击,到在接下来的两年中增加了更复杂的隐蔽策略。在2020年,他们禁用了许多安全机制以确保其隐身性,包括允许或拒绝用户访问服务的ufw(不复杂的防火墙)和NMI(不可屏蔽中断),这是最高优先级的中断,通常发生在不可恢复的硬件错误信号期间,也可用于监控系统复位。研究人员表示,今年,攻击者还添加了一种新的攻击技术,通过从远程服务器下载混淆的shell脚本来隐藏加密的活动活动。“他们对脚本进行了5次base64编码,这使得安全工具无法读取它并理解其背后的意图。该脚本实际上是用于挖矿的恶意脚本,”他们写道。研究人员补充说,在攻击期间添加的其他功能包括下载log_rotate.bin脚本,该脚本创建了一个新的cron作业,每55分钟在受感染的主机上启动一次加密挖矿活动。开始一次。他们指出:“Autom的攻击活动表明,攻击者的攻击手段越来越复杂,不断改进他们的攻击技术,以避免被安全解决方案发现的可能性。”本文翻译自:https://threatpost.com/cryptomining-attack-exploits-docker-api-misconfiguration-since-2019/177299/如有转载请注明出处。
