حمله به سرورهای ابری از طریق بدافزار استخراج رمزارز
محققان امنیت سایبری متوجه اجرای حملاتی شده اند که با استفاده از نرمافزارهای مجاز، زیرساختهای ابری سازمان ها را جهت استخراج رمزارز هدف حملات خود قرار می دهند.
شرکت Intezer خبر از شناسایی یک حمله جدید داده که در آن گروه هکری TeamTNT سعی در به کنترل گرفتن سیستمهای مبتنی بر فناوری ابر داشته است. مهاجمان این کار را با سوءاستفاده از ابزار “Weave Scope” که یک ابزار کد منبع باز بوده و از آن به منظور نظارت و خودکارسازی استفاده می شود، انجام داده اند. این ابزار به کاربران امکان میدهد کنترل کامل زیرساختهای ابری از جمله تمام دادههای مربوط به مخازن و میزبانها را تحت اختیار خود بگیرند.
نحوه نفوذ استخراج کنندگان رمزارز به سیستمهای قربانی
TeamTNT در ابتدا از یک پورت Docker API باز برای ایجاد یک مخزن استفاده میکند. سطح امتیاز و دسترسی این مخزن به اندازهای بالا است که مهاجمان با پیکربندی آن میتوانند فایل سیستم آن را بر روی فایل سیستم سرور قربانی نصب کنند. به این ترتیب TeamTNT به همه فایلهای ذخیره شده بر روی سرور دسترسی خواهد داشت.
در این مرحله، اعضای گروه TeamTNT به این مخزن فرمان میدهند تا چندین کریپتوماینر (استخراج کننده رمزارز) را اجرا کند. سپس این مخزن سعی میکند با تنظیم یک کاربر محلی به نام “hilde” بر روی سرور، از این حساب کاربری برای ارتباط با مهاجمان سوءاستفاده نماید.
مهاجمان می کوشند پس از دانلود و نصب Weave Scope، از طریق پورت 4040 HTTP با آن ارتباط برقرار کنند. ارتباط موفق با این بدافزار این امکان را برای مهاجمان فراهم می کند تا بدون نیاز به دانلود در پشتی یا سایر بدافزارها بتوانند فرمانهای لازم را اجرا کنند.
منشأ بدافزارهای استخراج رمزارز
گروه TeamTNT چندین ماه است که در حال اجرای چنین حملاتی بر ضد زیرساختهای ابری است. اولین بار محققان متوجه اجرای حملاتی با استفاده از یک بدافزار استخراج رمزارزها برای سرقت اطلاعات حساب کاربران وب سرویسهای آمازون و انتقال این اطلاعات به سرورهای تحت کنترل مهاجمان شدند.
محققان برای تحلیل عملکرد این حمله، یکسری اطلاعات حساب آزمایشی را به سرور مهاجمان ارسال کردند. بر اساس بررسی آنها هنوز گروه TeamTNT از این اطلاعات استفاده ای نکردهاند. آنها دلیل این تأخیر را احتمال بررسی اطلاعات حساب کاربری قبل از استفاده از آن یا نقص در قابلیتهای خودکارسازی این حمله میدانند.
بدافزار استخراج رمزارز TeamTNT، با استفاده از اطلاعات به سرقت رفته، APIهای باز Docker را جستجو کرده، یک ایمیج جدید Docker ایجاد نموده و سپس خودش را بر روی سیستم قربانی نصب میکند. مهاجمان از این روش برای توزیع یک ابزار استخراج رمزارز مونرو به نام “XMRig” استفاده میکنند. در کنار این ابزار از یک ابزار سوءاستفاده از پوسته امن، یک راهکار پاکسازی اطلاعات ثبت شده، یک روتکیت (نوعی از حمله است که در آن مجموعهای از نرمافزارها کنترل سیستم رایانهای کاربر را به دست میگیرند) و یک در پشتی (از طریق در پشتی می توان بدون اجازه به قسمت(های) مشخصی از یک سامانه دیگر مانند رایانه، دیوار آتش، یا … دست یافت) هم استفاده میشود.
بر اساس بررسیهای محققان، این بدافزار حداقل 119 سیستم را که شامل کلاسترهای Kubernetes و سرورهای Jenkins هستند، آلوده کرده است.
توصیههایی برای مقابله با تهدیداتی مثل بدافزارهای استخراج رمزارز
فعالیت گروههایی مثل TeamTNT نیاز به حفاظت هر چه بیشتر از سیستمهای رایانش ابری را نشان میدهد. بر اساس توصیههای محققان و کارشناسان امنیتی بهتر است فایلهای غیرضرروی حاوی اطلاعات ورود به وب سرویسهای آمازون را حذف یا دسترسی به API Docker را محدود کرد. همچنین باید با بررسی ترافیک شبکه، لینکهایی که به بدافزارهای استخراج رمزارز مربوط هستند را شناسایی کرده و ارتباط های ورودی پورت 4040 را مسدود نمود.
به طور کلی باید رویکردتان نسبت به امنیت ابر را تغییر داده و از تنظیماتی استفاده کنید که باعث افزایش امنیت می شوند. همچنین لازم است در کنار انجام منظم آزمون نفوذپذیری، برنامه ای نیز برای مدیریت آسیبپذیری ها داشته باشید. در نهایت می بایست از یک پلتفرم ابر ترکیبی استفاده کنید که به خودکارسازی چرخه حیات هوش مصنوعی در تمامی مراحل کمک کرده و آنچه را که توسط مدلهای قبلی هوش مصنوعی آموزش دیده شده اند، حفظ کند. این راهکار باید به صورت شفاف مدیریت شده و به شکل پویا متناسب با شرایط و نتایج تطبیق پیدا کند.
منبع: securityintelligence