کنفرانس کلاه سیاه‌ها: مهاجمان از کانتینر داکر برای ماندگاری و مخفی کردن بدافزار استفاده می‌کنند

مهاجمان سایبری در بردارهای جدید حمله، از واسط‌های برنامه‌نویسی داکر بهره‌برداری کرده و در تلاش هستند بر روی سامانه‌های هدف بدافزارها را مخفی کرده و حتی از راه دور، به اجرای کدهای مخرب بپردازند. این روش برای اولین بار توسط محققان امنیتی به‌طور مفهومی به اثبات رسید و در کنفرانس کلاه سیاه‌ها نیز ارائه گردید.

 

این حمله بر روی تمامی نصب‌های داکر که از TCP برای واسط‌های برنامه‌نویسی خود استفاده می‌کنند، به‌خوبی کار می‌کند.  در سامانه عامل ویندوز و همچنین بسیاری از برنامه‌های کاربردی که از کانتینرهای داکر استفاده می‌کنند، این پروتکل به‌عنوان پیش‌فرض برای واسط‌های برنامه‌نویسی مورد استفاده قرار می‌گیرد. محققان امنیتی می‌گویند: «پایان این حمله، اجرای کد از راه دور به‌طور دائمی در داخل شبکه‌ی سازمان مورد نظر خواهد بود. به‌طور عملیاتی می‌توان سازوکارهای ماندگاری را بر روی سامانه‌های هدف برای بدافزار فراهم کرد بدون اینکه توسط راه‌حل‌های امنیتی موجود، قابل تشخیص باشد.»

 

این حمله چند-مرحله‌ای است. در مرحله‌ی اول، توسعه‌دهنده‌ای که از داکر بر روی سامانه عامل ویندوز استفاده می‌کند، فریب داده می‌شود تا از وب‌گاهی بازدید کند که تحت کنترل مهاجمان بوده و بر روی آن یک جاوا اسکریپت مخرب میزبانی می‌شود. در این اسکریپت علاوه بر سایر قابلیت‌ها، این توانایی نیز وجود دارد که ویژگی‌های امنیتیِ موجود در مرورگرهای مدرن را دور بزند.

 

مهاجمان در این حمله علاوه بر استفاده از برخی دستورات واسط‌های برنامه‌نویسی، از کانتینر داکر سوءاستفاده کرده و از یک مخزن گیت به‌عنوان زیرساخت دستور و کنترل استفاده می‌کند که بر روی آن کدهای مخرب حملات میزبانی می‌شود. محققان می‌گویند این کانتینر می‌تواد نمونه‌ای محدود باشد. تنها چیزی که مهاجم نیاز دارد، دسترسی پیدا کردن به تمامی واسط‌های برنامه‌نویسی داکر است تا در ادامه بتواند هر کانتینر دیگری را با امتیازات بالا ایجاد کرده و به ماشین میزبان و یا ماشین مجازی زیرین آن دسترسی داشته باشد.

 

محققان برای اثبات مفهومی این مسئله، یک «حمله‌ی انقیاد مجدد میزبان1» را راه‌اندازی کردند که بسیار مشابه «حمله‌ی انقیاد مجدد DNS2» است. در این حمله، مهاجم با استفاده از DNS، مرورگر را مجبور می‌کند تا سیاست‌های مبدأ-یکسان (SOP) را نقض کند. حمله‌ای که محققان راه‌اندازی کردند از پروتکل تحلیل نام مایکروسافت بهره‌برداری می‌کند تا به همان اهداف دست یابد در حالی‌که در این حمله از واسط‌های مجازی استفاده می‌شود و این موضوع باعث می‌شود تا حمله در هیچ بخشی از شبکه قابل شناسایی و تشخیص نباشد.

 

محققان در توضیحات خود گفتند: «حمله‌ی انقیاد مجدد میزبان، آدرس IP یک میزبان را در شبکه‌ی محلی به آدرس IP دیگری نگاشت می‌کند. این حمله مشابه انقیاد مجدد DNS است ولی به‌جای جعل پاسخ‌های DNS، کنترل دامنه و یا هرگونه دست‌کاری در کارگزار آن، پاسخ‌های همه‌پخشی که توسط پروتکل تحلیل نام تولید می‌شود را دست‌کاری و جعل می‌کند. از جمله‌ی این پروتکل‌های تحلیل نام مایکروسافت می‌توان NetBIOS و LLMNR را نام برد.»

 

نتیجه‌ی این حمله، کانتینری است که در داخل ماشین مجازی Hyper-V اجرا شده، شبکه‌ی مربوط به میزبان را به اشتراک می‌گذارد و می‌تواند کدهای دلخواه مهاجم را اجرا کند. محققان می‌گویند: «اینک که دسترسی‌های کامل در اختیار مهاجم قرار گرفت و می‌تواند کدها و دستورات دلخواه را بر روی واسط‌های برنامه‌نویسی REST دائمون داکر اجرا کند، می‌تواند در ماشین مجازی زیرین نیز دسترسی‌های ریشه داشته و عملیات دلخواه خود را انجام دهد. مرحله‌ی بعدی حمله این است که همین کدها را بر روی ماشین مجازی اجرا کند درحالی‌که در میزبان ناشناس باقی مانده و شناسایی نمی‌شود.»

 

برای ادامه‌ی حمله، نیازمند چیزی هستیم که محققان امنیتی آن را «کانتینر سایه» می‌نامند. این کانتینر این امکان را فراهم می‌کند تا دستورات مخرب حتی پس از راه‌اندازی مجددِ ماشین مجازی، ماندگار و دائمی باشند. محققان افزودند: «اگر قربانی ماشین میزبان و یا حتی داکر موجود در ویندوز را مجدداً راه‌اندازی کند، مهاجم کنترل خود را از دست خواهد داد. برای فائق آمدن بر این مشکل، کانتینر سایه پیشنهاد شده است که با استفاده از آن، مهاجم به سازوکار ماندگاری و اختفاء دست می‌یابد.»

 

برای این منظور، مهاجم باید اسکرپیتی را برای خاموشی کانتینر بنویسد تا وضعیت و اسکریپت‌های مخرب را ذخیره و حفظ کند. محققان می‌گویند: «تحت این شرایط شما به شبکه‌ی داخلی دسترسی داشته و می‌توانید شبکه را پویش کرده و درگاه‌های باز را شناسایی و مورد حمله قرار دهید. علاوه بر این نکته‌ی دیگری که وجود دارد این است که قربانی توسعه‌دهنده‌ی داکر است، می‌توانید پرونده‌ی تصویری کانتینر محلی را آلوده کرده و کل خط‌لوله‌ی داکر را از این طریق مورد حمله قرار دهید.»

 

محققان اعلام کردند اوایل امسال به داکر در خصوص کشف چنین بردار حمله‌ای اطلاع داده‌اند. داکر اعلام کرده که پیکربندی‌های پیش‌فرض را تغییر داده و درگاه‌های HTTP را بسته است تا جلوی چنین حملات و دسترسی‌هایی به داکر گرفته شود. برای جلوگیری از بروز هرگونه مشکل، توصیه می‌شود نسخه‌های داکر در ویندوز را به‌روزرسانی کرده و فقط به کاربران مجاز اجازه‌ی دسترسی به درگاه‌ها را بدهید. بر روی واسط‌های ماشین مجازی، درگاه 2375 را با استفاده از دیواره‌ی آتش مسدود کرده و پروتکل‌های LLMNR و NetBIOS را در نقاط انتهایی غیرفعال کنید.

 

  • 1. Host Rebinding Attack
  • 2. DNS Rebinding Attack
0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید