为了渗透云环境,TeamTNT已将合法的Weave Scope软件添加到其攻击工具包中。根据网络安全公司Intezer和Microsoft本周发布的最新研究,这可能是Weave Scope首次被纳入基于云的攻击中。
TeamTNT此前曾与针对Docker和Kubernetes装置的攻击有关。上个月,威胁参与者连接到一个加密货币挖掘僵尸网络,该网络能够从服务器窃取AWS证书。已知该组织还将恶意Docker图像上载到Docker Hub。
微软表示,8月中旬发现的恶意图片是从一个过去的攻击中没有的存储库中部署的。一个Docker映像,特别是pause-amd64:3.3,连接到一个位于德国的服务器,该服务器包含恶意脚本和该组使用的其他工具。
但是,该小组的最新发展是滥用Weave Scope。
Weave Works的Weave Scope是适用于Docker、Kubernetes、分布式云操作系统(DC/OS)和AWS Elastic Compute Cloud(ECS)的开源可视化和监视软件,使用户可以观察云环境中容器的运行过程和网络连接通过专用界面。该软件还允许管理员以root身份在群集中运行Shell,并且默认情况下不需要身份验证。
尽管TeamTNT是一种有价值且合法的工具,但它利用云服务配置错误和通过端口4040授予的开放访问的优势将软件部署为后门。
微软说:“我们看到集群管理员允许对该接口以及其他类似服务的公共访问。攻击者,包括这个小组[TeamTNT],都利用了这种错误配置,并使用公共访问权来入侵Kubernetes集群。”
为了安装Weave Scope,TeamTNT将首先尝试查找公开的Docker API。如果发现一个,将创建一个使用干净的Ubuntu映像的新特权容器,以及通过主文件系统挂载以及加载和执行加密货币矿工的说明。
攻击链的下一阶段涉及在主机服务器上设置本地特权用户,以通过SSH重新连接并安装Weave Scope。
研究人员说:“攻击者安装此工具是为了映射受害者的云环境并执行系统命令,而无需在服务器上部署恶意代码。据我们所知,这是攻击者首次使用合法的第三方软件来瞄准云基础架构。”
从本质上讲,这使Weave Scope可以充当云安装的后门,并赋予攻击者监视系统,安装应用程序,使用计算资源以及启动,停止或打开容器中Shell的能力。
TechRepublic:中小型企业如何克服网络安全中的关键挑战
由于TeamTNT利用常见的Docker错误配置导致通过端口4040暴露的优势,研究人员建议系统管理员阻止对该端口的传入连接,并可能考虑对云基础架构启用零信任安全实践。
微软评论说:“配置错误的服务似乎是对Kubernetes集群的攻击中最流行和最危险的访问媒介之一。”
