도키에 의해 죽음 : 심각한 물린 새로운 Docker 취약점 (그리고 당신이 그것에 대해 무엇을 할 수 있습니다)
일본어 오노마토포에이아에서는 "도키도키"("")라는 문구가 심하게 박동하는 심장의 소리를 나타냅니다... Docker 서버가 Doki에 감염된 경우 보안 팀의 구성원이 경험할 수 있는 바로 그 것입니다. 피팅 이름, 적어도 말을.
클라우드 인프라에 대한 의존도가 증가함에 따라 보안 모범 사례의 정밀도와 확장 가능한 효율성에 대한 필요성이 매우 중요하며, SDLC 전체에 컨테이너 보안을 위한 맞춤형 조치를 통해 안전한 애플리케이션 배포를 위해 최소한의 부분을 훨씬 초과해야 합니다.
사이버 공격은 점점 더 빈번해지고 있으며 Linux 기반 인프라에 영향을 미치는 위협이 점점 더 보편화되고 있으며, 최종 목표는 클라우드에 저장된 민감한 데이터의 전리품 상자를 열어 놓을 수 있는 기회가 되었습니다. Doki는 이를 목표로 하고 있으며, Docker 기반 보안 문제의 영역에서 이전에 볼 수 있는 것과는 달리 탐지되지 않고 강력하며 효과적인 여러 기술을 사용하는 것이 목표입니다.
도키는 무엇이며 어떻게 작동합니까?
많은 손상된 응용 프로그램에서 공통적인 주제와 마찬가지로 보안 오용은 소프트웨어 위반 방식에 매우 큰 역할을 합니다. Docker의 경우 특히 잘못 구성된 Docker 엔진 API는 공격자에게 유익한 것으로 입증되었습니다. Ngrok Botnet 암호 마이닝 봇은 2018 년부터 안전하지 않은 Docker 서버를 위해 스니핑하여 자체 컨테이너를 회전시키고 피해자의 인프라에서 악성 코드를 실행하고 있습니다.
Doki는 이 악성 코드의 더 교활하고 악의적인 버전으로 동일한 공격 벡터를 노출하는 동일한 봇넷을 통해 성공을 거두었습니다: API 오구성, 이는 서버의 코드 배포 또는 공개 가시성 전에 잘 해결되어야 합니다. Doki는 모든 사람이 가장 좋아하는 풍자 암호 화폐 인 Dogecoin의블록 체인을 사용하여 사실상 감지 할 수없는 백도어 역할을합니다. 그것은 스탠드로, 그것은 1 월 이후흔적의 많은없이 주위에 미끄러져있다.
악성 코드는 본질적으로 자체적으로 새로운 것이 아닌 C2 (명령 및 제어) 도메인 이름을 생성하기 위해 블록 체인 지갑을 남용하지만 Doki는 감염된 서버에서 원격 코드 실행을위한 지속적인 기능을 제공하여 랜섬웨어 및 DDoS와 같은 다양한 맬웨어 기반 공격을 제공합니다. 그것은 끈질기게, 처럼 "뼈와 도그", 만약 당신이 할 것 이다. Intezer의 좋은 사람들은 전체 위협과 거대한 페이로드에 대한 완전한 글을 작성했습니다.
코드에서 도키 통로를 발견.
Doki가 분산 된 블록 체인 네트워크에서 운영되는 백도어이며, 트랙을 커버하고 호스트의 더 많은 영역에 액세스하고 감염을 계속 확산하기 위해 애매하고 빠른 컨테이너 탈출 기술을 사용한다는 사실은 개발자와 보안 팀 모두에게 다소 악몽입니다.
그러나 Doki는 보안 API 포트가 있는 Docker 서버를 감염시킬 수 없습니다. 생산 중에 사람들을 구성하는 것은 광범위한 결과를 초래하는 실수이지만, 클라우드 개발자를위한 보안 인식과 실용적인 보안 코딩 기술에 대한 효과적인 교육은 이러한 복잡하고 어려운 악성 코드 조각에 직면하여 다소 "간단한"수정입니다.
Doki가 길을 찾고 확산을 시작할 수 있는 안전하지 않은 Docker API의 이 예를 살펴보겠습니다.
도커 -H tcp://0.0.0.0:2375
잘못된 구성을 발견할 수 있습니까? 보안 버전은 다음과 같습니다.
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/등/ssl/certs/server-cert.pem--tlskey=/등/ssl/private/server-key.pem
안전하지 않은 예에서 Docker Engine API는 포트 TCP 2375에서 수신 대기 중이며 연결 요청을 수락하므로 Docker 서버에 도달하는 모든 사용자가 사용할 수 있습니다.
보안 예제에서는 Docker Engine API가 TLS 인증서 유효성 검사를 사용하도록 구성되었으며 CA에서 신뢰할 수 있는 인증서를 제공하는 클라이언트의 연결만 수락합니다.
우리는 개발자가 Doki 감염의 근본 원인을 식별하고 수정하는 데 도움이되는 게임 화 도전의 모든 새로운 세트를 가지고 있으며, 여기에서 재생할 수 있습니다 :
보안 클라우드 인프라는 팀 스포츠입니다.
클라우드 오구성은 조직에 2018년과 2019년 동안 5조 달러에 달하는 놀라운 비용을 발생시켰으며, 이는 수십억 개의 노출 된 기록과 돌이킬 수 없는 평판 손상을 나타냅니다. 대체로 피할 수 있는 공격 벡터의 경우 다소 놀라운 통계입니다. 또한 노출된 포트를 모니터링하고 수정하는 것과 같은 측정값(배포 전 이상적으로), 알 수 없는 컨테이너를 확인하고 과도한 서버 부하를 주시하는 것은 Doki와 같은 것의 눈덩이 손상을 막을 수 있다고 생각하는 것은 마음의 평화를 위해 지불하는 작은 가격입니다.
전사적 보안 인식은 매우 중요하며 SDLC에 관련된 모든 사람에게 보안 모범 사례로 운영되는 것은 협상할 수 없습니다. 최고의 조직은 보안에 대한 책임이 공유되는 견고한 DevSecOps 프로세스에 전념하고 있으며 개발자와 AppSec 전문가는 공통의 취약점이 소프트웨어와 중요한 인프라에 진입하는 것을 막을 수 있는 지식과 도구를 가지고 있습니다.
보안 인식, 과급 된 클라우드 엔지니어로 시작하고 싶으십니까? 지금 당신의 능력을 테스트 시작.
마티아스 마두, Ph.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.
Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.
개발자 중심 보안에 대한 최신 연구 보기
광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.
도키에 의해 죽음 : 심각한 물린 새로운 Docker 취약점 (그리고 당신이 그것에 대해 무엇을 할 수 있습니다)
일본어 오노마토포에이아에서는 "도키도키"("")라는 문구가 심하게 박동하는 심장의 소리를 나타냅니다... Docker 서버가 Doki에 감염된 경우 보안 팀의 구성원이 경험할 수 있는 바로 그 것입니다. 피팅 이름, 적어도 말을.
클라우드 인프라에 대한 의존도가 증가함에 따라 보안 모범 사례의 정밀도와 확장 가능한 효율성에 대한 필요성이 매우 중요하며, SDLC 전체에 컨테이너 보안을 위한 맞춤형 조치를 통해 안전한 애플리케이션 배포를 위해 최소한의 부분을 훨씬 초과해야 합니다.
사이버 공격은 점점 더 빈번해지고 있으며 Linux 기반 인프라에 영향을 미치는 위협이 점점 더 보편화되고 있으며, 최종 목표는 클라우드에 저장된 민감한 데이터의 전리품 상자를 열어 놓을 수 있는 기회가 되었습니다. Doki는 이를 목표로 하고 있으며, Docker 기반 보안 문제의 영역에서 이전에 볼 수 있는 것과는 달리 탐지되지 않고 강력하며 효과적인 여러 기술을 사용하는 것이 목표입니다.
도키는 무엇이며 어떻게 작동합니까?
많은 손상된 응용 프로그램에서 공통적인 주제와 마찬가지로 보안 오용은 소프트웨어 위반 방식에 매우 큰 역할을 합니다. Docker의 경우 특히 잘못 구성된 Docker 엔진 API는 공격자에게 유익한 것으로 입증되었습니다. Ngrok Botnet 암호 마이닝 봇은 2018 년부터 안전하지 않은 Docker 서버를 위해 스니핑하여 자체 컨테이너를 회전시키고 피해자의 인프라에서 악성 코드를 실행하고 있습니다.
Doki는 이 악성 코드의 더 교활하고 악의적인 버전으로 동일한 공격 벡터를 노출하는 동일한 봇넷을 통해 성공을 거두었습니다: API 오구성, 이는 서버의 코드 배포 또는 공개 가시성 전에 잘 해결되어야 합니다. Doki는 모든 사람이 가장 좋아하는 풍자 암호 화폐 인 Dogecoin의블록 체인을 사용하여 사실상 감지 할 수없는 백도어 역할을합니다. 그것은 스탠드로, 그것은 1 월 이후흔적의 많은없이 주위에 미끄러져있다.
악성 코드는 본질적으로 자체적으로 새로운 것이 아닌 C2 (명령 및 제어) 도메인 이름을 생성하기 위해 블록 체인 지갑을 남용하지만 Doki는 감염된 서버에서 원격 코드 실행을위한 지속적인 기능을 제공하여 랜섬웨어 및 DDoS와 같은 다양한 맬웨어 기반 공격을 제공합니다. 그것은 끈질기게, 처럼 "뼈와 도그", 만약 당신이 할 것 이다. Intezer의 좋은 사람들은 전체 위협과 거대한 페이로드에 대한 완전한 글을 작성했습니다.
코드에서 도키 통로를 발견.
Doki가 분산 된 블록 체인 네트워크에서 운영되는 백도어이며, 트랙을 커버하고 호스트의 더 많은 영역에 액세스하고 감염을 계속 확산하기 위해 애매하고 빠른 컨테이너 탈출 기술을 사용한다는 사실은 개발자와 보안 팀 모두에게 다소 악몽입니다.
그러나 Doki는 보안 API 포트가 있는 Docker 서버를 감염시킬 수 없습니다. 생산 중에 사람들을 구성하는 것은 광범위한 결과를 초래하는 실수이지만, 클라우드 개발자를위한 보안 인식과 실용적인 보안 코딩 기술에 대한 효과적인 교육은 이러한 복잡하고 어려운 악성 코드 조각에 직면하여 다소 "간단한"수정입니다.
Doki가 길을 찾고 확산을 시작할 수 있는 안전하지 않은 Docker API의 이 예를 살펴보겠습니다.
도커 -H tcp://0.0.0.0:2375
잘못된 구성을 발견할 수 있습니까? 보안 버전은 다음과 같습니다.
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/등/ssl/certs/server-cert.pem--tlskey=/등/ssl/private/server-key.pem
안전하지 않은 예에서 Docker Engine API는 포트 TCP 2375에서 수신 대기 중이며 연결 요청을 수락하므로 Docker 서버에 도달하는 모든 사용자가 사용할 수 있습니다.
보안 예제에서는 Docker Engine API가 TLS 인증서 유효성 검사를 사용하도록 구성되었으며 CA에서 신뢰할 수 있는 인증서를 제공하는 클라이언트의 연결만 수락합니다.
우리는 개발자가 Doki 감염의 근본 원인을 식별하고 수정하는 데 도움이되는 게임 화 도전의 모든 새로운 세트를 가지고 있으며, 여기에서 재생할 수 있습니다 :
보안 클라우드 인프라는 팀 스포츠입니다.
클라우드 오구성은 조직에 2018년과 2019년 동안 5조 달러에 달하는 놀라운 비용을 발생시켰으며, 이는 수십억 개의 노출 된 기록과 돌이킬 수 없는 평판 손상을 나타냅니다. 대체로 피할 수 있는 공격 벡터의 경우 다소 놀라운 통계입니다. 또한 노출된 포트를 모니터링하고 수정하는 것과 같은 측정값(배포 전 이상적으로), 알 수 없는 컨테이너를 확인하고 과도한 서버 부하를 주시하는 것은 Doki와 같은 것의 눈덩이 손상을 막을 수 있다고 생각하는 것은 마음의 평화를 위해 지불하는 작은 가격입니다.
전사적 보안 인식은 매우 중요하며 SDLC에 관련된 모든 사람에게 보안 모범 사례로 운영되는 것은 협상할 수 없습니다. 최고의 조직은 보안에 대한 책임이 공유되는 견고한 DevSecOps 프로세스에 전념하고 있으며 개발자와 AppSec 전문가는 공통의 취약점이 소프트웨어와 중요한 인프라에 진입하는 것을 막을 수 있는 지식과 도구를 가지고 있습니다.
보안 인식, 과급 된 클라우드 엔지니어로 시작하고 싶으십니까? 지금 당신의 능력을 테스트 시작.
