Atacantes que abusam de ferramentas legítimas de monitoramento em nuvem para conduzir ataques

TeamTNT é um grupo de crimes cibernéticos voltado para ambientes em nuvem, incluindo instâncias do Docker e Kubernetes. O grupo foi documentado anteriormente usando várias ferramentas, incluindo criptomoedas e worms de roubo de credenciais da Amazon Web Services (AWS).

O TeamTNT também foi detectado usando uma imagem Docker maliciosa que pode ser encontrada no Docker Hub para infectar os servidores de suas vítimas. Agora o grupo está evoluindo. Em um ataque recente observado por Intezer, TeamTNT usa uma nova técnica abusando do Weave Scope , uma ferramenta confiável que dá ao usuário acesso total ao seu ambiente de nuvem e é integrada com Docker, Kubernetes, o Distributed Cloud Operating System (DC / OS), e AWS Elastic Compute Cloud (ECS). Os invasores instalam essa ferramenta para mapear o ambiente de nuvem de sua vítima e executar comandos do sistema sem implantar código malicioso no servidor.

Até onde sabemos, esta é a primeira vez que invasores são pegos usando software legítimo de terceiros para atingir a infraestrutura de nuvem. Quando abusado, o Weave Scope oferece ao invasor total visibilidade e controle sobre todos os ativos no ambiente de nuvem da vítima, funcionando essencialmente como uma porta dos fundos.

A seguir, descreveremos o fluxo de ataque e o uso do Weave Scope pelo atacante.

Fluxo de Ataque

Os ataques do TeamTNT normalmente envolvem o uso de imagens maliciosas do Docker do Docker Hub, além de cripto-mineradores e scripts maliciosos. A singularidade do recente ataque observado por Intezer é que o grupo abusa de uma ferramenta legítima de código aberto chamada Weave Scope para obter controle total sobre a infraestrutura em nuvem da vítima.

Weave Scope é uma ferramenta de código aberto da Weave Works , uma empresa que oferece ferramentas de automação para trabalhar com aplicativos em contêineres. Ele fornece monitoramento, visualização e controle sobre Docker e Kubernetes. Usando um painel acessível a partir do navegador, o usuário obtém controle total sobre a infraestrutura, incluindo todas as informações e metadados sobre contêineres, processos e hosts.

Weave Scope é um utilitário poderoso, que dá aos atacantes acesso a todas as informações sobre o ambiente de servidor da vítima com a capacidade de controlá-los, incluindo: aplicativos instalados, conexão entre as cargas de trabalho em nuvem, uso de memória e CPU e uma lista de contêineres existentes com a capacidade de iniciar, parar e abrir shells interativos em qualquer um desses contêineres. Ao instalar uma ferramenta legítima como o Weave Scope, os invasores colhem todos os benefícios como se tivessem instalado um backdoor no servidor, com muito menos esforço e sem a necessidade de usar malware.

Visualização do Weave Scope

A imagem acima é uma visualização do Weave Scope de um servidor Linux. À esquerda está o terminal aberto de um contêiner baseado em Nginx. À direita, há uma visão de todos os contêineres do servidor.

Para instalar o Weave Scope no servidor, os atacantes usam uma porta API Docker exposta e criam um novo contêiner privilegiado com uma imagem limpa do Ubuntu. O contêiner é configurado para montar o sistema de arquivos do contêiner no sistema de arquivos do servidor vítima, obtendo assim o acesso dos atacantes a todos os arquivos no servidor. O comando inicial dado ao contêiner é para baixar e executar vários criptomineradores.

Os invasores então tentam obter acesso root ao servidor configurando um usuário local privilegiado chamado ‘hilde’ no servidor host e o usam para se conectar de volta via SSH.

Em seguida, os invasores baixam e instalam o Weave Scope. Conforme descrito no guia de instalação no git do Weave Scope , são necessários apenas alguns comandos para concluir a instalação da ferramenta.

Âmbito de trama

Depois de instalados, os invasores podem se conectar ao painel do Weave Scope via HTTP na porta 4040 e obter total visibilidade e controle sobre a infraestrutura da vítima.

No painel, os invasores podem ver um mapa visual do ambiente de nuvem do tempo de execução do Docker e fornecer comandos shell sem a necessidade de implantar qualquer componente backdoor malicioso. Este cenário não é apenas incrivelmente raro, pelo que sabemos, esta é a primeira vez que um invasor faz download de um software legítimo para usar como ferramenta de administração no sistema operacional Linux.

Recomendações de mitigação

A configuração precisa e correta de cargas de trabalho e serviços em nuvem pode evitar muitos ataques, por isso é importante dedicar tempo e esforço para verificá-los. Para se proteger desse ataque, recomendamos:

  • Fechar portas expostas da API Docker: Este ataque tira proveito de uma configuração incorreta comum da API Docker, que dá ao invasor controle total sobre o serviço Docker. Portanto, as portas da API Docker devem ser fechadas ou conter políticas de acesso restrito no firewall.
  • Bloqueie as conexões de entrada para a porta 4040: Weave Scope usa a porta padrão 4040 para tornar o painel acessível e qualquer pessoa com acesso à rede pode ver o painel. Semelhante à porta Docker API, esta porta deve ser fechada ou restrita pelo firewall.
  • Bloqueie os IOCs fornecidos abaixo.
  • Aproveite a edição gratuita da comunidade Intezer Protect para proteger seus servidores de nuvem Linux e contêineres em tempo de execução contra código não autorizado.

Aplicar Zero Trust Execution às suas cargas de trabalho

Zero Trust Execution é visto por empresas de pesquisa de mercado como a melhor prática para proteger cargas de trabalho em nuvem por motivos como a natureza deste ataque TeamTNT. A ZTE cria uma linha de base confiável de suas cargas de trabalho e monitora qualquer novo processo ou código injetado. Qualquer código ou aplicativo não autorizado que saia da linha de base pré-aprovada é impedido de executar em seu ambiente de nuvem, permitindo que você mantenha um estado confiável.

Nesse cenário, embora o Weave Scope seja uma ferramenta de administração legítima (não é malware e, portanto, não contém código malicioso), o aplicativo ainda foi sinalizado pela ZTE porque é um código não autorizado que se desvia da linha de base confiável.

Este artigo explica como você pode adotar uma abordagem ZTE baseada na genética para aliviar algumas das altas sobrecargas causadas por implementações tradicionais.

Atualização da Weave Works

Desde então, a Weave Works forneceu este artigo detalhado sobre como evitar ataques maliciosos usando o Weave Scope. O artigo aborda como o Scope é usado e como você pode evitar que ele seja usado indevidamente, protegendo-o em qualquer instalação do Kubernetes.

Um agradecimento especial a Idan Katz por sua contribuição para esta pesquisa.

IOCs

85 [.] 214.149.236
https: // iplogger [.] org / 2Xvkv5
24d7d21c3675d66826da0372369ec3e8
8c6681daba966addd295ad89bf5146af
656eca480e2161e8645f9b29af7e4762
8ffdba0c9708f153237aabb7d386d083
45385f7519c11a58840931ee38fa3c7b

Fonte: https://cloudsecurityalliance.org/blog/2020/09/28/attackers-abusing-legitimate-cloud-monitoring-tools-to-conduct-cyber-attacks/