حمله به سرورهای ابری از طریق بدافزار استخراج رمزارز

محققان امنیت سایبری متوجه اجرای حملاتی شده اند که با استفاده از نرم­‌افزارهای مجاز، زیرساخت‌های ابری سازمان ها را جهت استخراج رمزارز هدف حملات خود قرار می­ دهند.

شرکت Intezer خبر از شناسایی یک حمله جدید داده که در آن گروه هکری TeamTNT سعی در به کنترل گرفتن سیستم‌های مبتنی بر فناوری ابر داشته است. مهاجمان این کار را با سوءاستفاده از ابزار “Weave Scope” که یک ابزار کد منبع باز بوده و از آن به منظور نظارت و خودکارسازی استفاده می شود، انجام داده اند. این ابزار به کاربران امکان می‌دهد کنترل کامل زیرساخت‌های ابری از جمله تمام داده­‌های مربوط به مخازن و میزبان‌ها را تحت اختیار خود بگیرند.

نحوه نفوذ استخراج کنندگان رمزارز به سیستم‌های قربانی

TeamTNT در ابتدا از یک پورت Docker API باز برای ایجاد یک مخزن استفاده می‌کند. سطح امتیاز و دسترسی این مخزن به اندازه‌ای بالا است که مهاجمان با پیکربندی آن می‌توانند فایل ‌سیستم آن را بر روی فایل ‌سیستم سرور قربانی نصب کنند. به این ترتیب TeamTNT به همه فایل‌های ذخیره شده بر روی سرور دسترسی خواهد داشت.

در این مرحله، اعضای گروه TeamTNT به این مخزن فرمان می‌دهند تا چندین کریپتوماینر (استخراج­ کننده رمزارز) را اجرا کند. سپس این مخزن سعی می‌کند با تنظیم یک کاربر محلی به نام “hilde” بر روی سرور، از این حساب کاربری برای ارتباط با مهاجمان سوءاستفاده نماید.

مهاجمان می کوشند پس از دانلود و نصب Weave Scope، از طریق پورت 4040 HTTP با آن ارتباط برقرار کنند. ارتباط موفق با این بدافزار این امکان را برای مهاجمان فراهم می کند تا بدون نیاز به دانلود در پشتی یا سایر بدافزارها بتوانند فرمان‌های لازم را اجرا کنند.

منشأ بدافزارهای استخراج رمزارز

گروه TeamTNT چندین ماه است که در حال اجرای چنین حملاتی بر ضد زیرساخت‌های ابری است. اولین بار محققان متوجه اجرای حملاتی با استفاده از یک بدافزار استخراج رمزارزها برای سرقت اطلاعات حساب کاربران وب‌ سرویس‌های آمازون و انتقال این اطلاعات به سرورهای تحت کنترل مهاجمان شدند.

محققان برای تحلیل عملکرد این حمله، یکسری اطلاعات حساب آزمایشی را به سرور مهاجمان ارسال کردند. بر اساس بررسی آنها هنوز گروه TeamTNT از این اطلاعات استفاده ای نکرده‌اند. آنها دلیل این تأخیر را احتمال بررسی اطلاعات حساب کاربری قبل از استفاده از آن یا نقص در قابلیت‌های خودکارسازی این حمله می‌دانند.

بدافزار استخراج رمزارز TeamTNT، با استفاده از اطلاعات به سرقت رفته، APIهای باز Docker را جستجو کرده، یک ایمیج جدید Docker ایجاد نموده و سپس خودش را بر روی سیستم قربانی نصب می‌کند. مهاجمان از این روش برای توزیع یک ابزار استخراج رمزارز مونرو به نام “XMRig” استفاده می‌کنند. در کنار این ابزار از یک ابزار سوءاستفاده از پوسته امن، یک راهکار پاکسازی اطلاعات ثبت شده، یک روت‌کیت (نوعی از حمله است که در آن مجموعه‌ای از نرم‌افزارها کنترل سیستم رایانه‌ای کاربر را به دست می‌گیرند) و یک در پشتی (از طریق در پشتی می­ توان بدون اجازه به قسمت(های) مشخصی از یک سامانه دیگر مانند رایانه، دیوار آتش، یا … دست یافت) هم استفاده می‌شود.

بر اساس بررسی‌های محققان، این بدافزار حداقل 119 سیستم را که شامل کلاسترهای Kubernetes و سرورهای Jenkins هستند، آلوده کرده است.

توصیه‌هایی برای مقابله با تهدیداتی مثل بدافزارهای استخراج رمزارز

فعالیت گروه‌هایی مثل TeamTNT نیاز به حفاظت هر چه بیشتر از سیستم‌های رایانش ابری را نشان می‌دهد. بر اساس توصیه‌های محققان و کارشناسان امنیتی بهتر است فایل‌های غیرضرروی حاوی اطلاعات ورود به وب ‌سرویس‌های آمازون را حذف یا دسترسی به API Docker را محدود کرد. همچنین باید با بررسی ترافیک شبکه، لینک‌هایی که به بدافزارهای استخراج رمزارز مربوط هستند را شناسایی کرده و ارتباط های ورودی پورت 4040 را مسدود نمود.

به طور کلی باید رویکردتان نسبت به امنیت ابر را تغییر داده و از تنظیماتی استفاده کنید که باعث افزایش امنیت می شوند. همچنین لازم است در کنار انجام منظم آزمون نفوذپذیری، برنامه ای نیز برای مدیریت آسیب‌پذیری ها داشته باشید. در نهایت می بایست از یک پلتفرم ابر ترکیبی استفاده کنید که به خودکارسازی چرخه حیات هوش مصنوعی در تمامی مراحل کمک کرده و آنچه را که توسط مدل‌های قبلی هوش مصنوعی آموزش دیده شده اند، حفظ کند. این راهکار باید به صورت شفاف مدیریت شده و به شکل پویا متناسب با شرایط و نتایج تطبیق پیدا کند.

منبع: securityintelligence