A pressa no mundo todo para mover recursos e infraestrutura para a nuvem como resultado da Covid-19 mudou a superfície de ataque de ambientes on-premise para a nuvem. Em muitos casos, essa mesma pressa criou superfícies de ataque que os departamentos de segurança de TI nunca antes haviam sido encarregados de proteger.
Esses departamentos se sentem confortáveis com as equipes de DevOps on-premise desenvolvendo e publicando seus apps e serviços internamente ou até mesmo publicando serviços e contêineres prontos para produção na nuvem. Com o pipeline de construção sendo movido completamente para a nuvem, as equipes de defesa nem sempre entendem os riscos de segurança associados.
Recentemente, um novo tipo de malware Linux chamado “DOKI” foi descoberto explorando APIs do Docker publicamente acessíveis hospedadas em todos os principais provedores de nuvem. A maneira como os agentes de ameaças estão obtendo acesso aos ambientes de contêiner é uma técnica já anteriormente conhecida, mas o malware DOKI é algo que não foi documentado até o presente momento.
A fim de introduzir o malware DOKI em um host de contêiner, os agentes de ameaça fazem uma varredura nas redes do provedor de nuvem em busca de APIs do Docker acessíveis ao público e obtêm acesso ao ambiente Docker por meio dessa mesma API. Assim que o agente da ameaça obtém acesso, ele começa a ativar seus próprios contêineres exclusivos e excluir os logs relacionados à sua atividade. Um aspecto dessa técnica de ataque envolve divulgar imagens do Alpine com o cURL instalado. A imagem em si não é maliciosa, mas com o cURL instalado, o invasor pode usar o contêiner para realizar atividades maliciosas remotamente. Como o invasor está usando uma imagem de contêiner acessível publicamente, as soluções típicas de varredura de registro de contêiner a veriam como estando limpa e permitiriam que ela fosse criada e publicada.
Esta é simplesmente a primeira etapa na cadeia de ataque, o invasor ainda não pode executar malware na máquina host do contêiner, que é o resultado final que está procurando. Para que a execução ocorra, o invasor deve escapar do contêiner. Nesse caso, o invasor usa o parâmetro de ligação que está incluído na solicitação de criação da API. O invasor então liga um diretório /tmpxxxx na raiz da máquina host e obtém acesso para executar qualquer arquivo que resida nesse diretório na máquina host.
Além disso, por meio do serviço Ngrok, o invasor gera URLs exclusivos com vida útil curta para baixar payloads para as imagens baseadas em cURL que ele mesmo criou anteriormente. O agente também assumiu o controle do utilitário cron no host e repete o download a cada minuto. A maior parte dos malwares observados era de criptomineradores e vários binários de malware conhecidos. As ocorrências mais recentes incluíram o malware DOKI recém-descoberto.
O malware DOKI possui alguns componentes que o tornam muito único. O comportamento mais exclusivo desse malware é que ele usa uma combinação de DynDNS e um algoritmo de geração de domínio exclusivo baseado em Dogecoin para encontrar o domínio de seu C2 em tempo real. Este é um comportamento que não foi observado em malwares até agora. O invasor controla qual URL o malware contata, transferindo o Dogecoin de sua carteira. O uso dessa técnica torna o ataque muito resistente a qualquer tipo de ação de serviços de filtragem de domínio ou outros tipos de produtos de segurança existentes. Também é um avanço notável que o invasor esteja controlando a URL transferindo Dogecoin para sua carteira.
Embora esse ataque seja único, a abordagem para detectar investidas como essas não muda. Usar um procedimento de segurança em camadas, tocando todos os pontos onde os dados são movidos ou gerados, é a melhor maneira de proteger os ambientes. A plataforma Trend Micro Cloud One foi otimizada para desenvolvedores de nuvem e pode proteger todos os pontos de um ataque, como aqueles usados no malware DOKI.
Para este caso específico, a API do Docker foi o ponto de entrada. A proteção desse ponto de entrada é onde a maioria das empresas opta por proteger seus ambientes e, infelizmente, muitas organizações não são capazes de expandir sua segurança devido a restrições de orçamento ou falta de conhecimento dos produtos aplicáveis. Ao utilizar a suíte de serviços da Trend Micro Cloud One, não apenas protegemos os ambientes em nuvem, mas também damos às empresas visibilidade de toda a cadeia de ataque e permitimos que avaliem o que foi feito e quando. Isso inclui o tempo de execução e dentro de contêineres, que exigem controles de segurança independentes de um endpoint em um dispositivo de usuário ou instância de nuvem.
Para este ataque em particular, o Cloud One – Application Security seria a primeira linha de defesa para proteger a API do Docker de exploração. Esse controle específico dentro da Cloud One pode executar a segurança como código e ajudar a detectar qualquer comprometimento no nível da API do Docker. A próxima camada de proteção que esta plataforma pode fornecer é a proteção do Cloud One – Container Security. Esse controle detectaria contêineres externos sendo gerados no pipeline de CI/CD e evitaria que fossem publicados em ambientes de produção. Por fim, o Cloud One – Workload Security tem a capacidade de detectar uma exploração em execução no host do contêiner. Se um invasor for capaz de escapar dos controles anteriores, o Workload Security detectará qualquer coisa, desde malware no host até serviços incomuns sendo ativados no host.
A plataforma Trend Micro Cloud One oferece serviços de segurança de cloud focados nas ameaças que afetam sua infraestrutura em nuvem. O Cloud One oferece proteção para workloads em nuvem, contêineres, aplicações em nuvem, serviços de armazenamento de objetos/arquivos, adesão aos padrões de práticas recomendadas da nuvem e inspeção de redes cloud native. Cada componente tem contato com uma superfície de ataque diferente na nuvem e é apoiado pela pesquisa de ameaças de classe mundial da Trend Micro e por parcerias de inteligência de ameaças. Além disso, a plataforma Cloud One oferece às empresas a capacidade de defender ambientes de nuvem híbrida, protegendo workloads on-premise e cloud-based a partir de uma única console.
Promover a segurança da nuvem requer proteção contra ameaças antigas que visam uma nova superfície de ataque e novas ameaças projetadas especificamente para aplicações nativas da nuvem – como o malware DOKI. Não importa a ameaça ou superfície de ataque, entendemos todos os lados dos ambientes de nuvem híbrida e construímos ferramentas que atendem às necessidades das equipes de segurança de TI e DevOps.