Death by Doki: 深刻な被害をもたらした新しい Docker の脆弱性 (およびその対処法)
일본어 오노마토포에이아에서는 "도키도키"("")라는 문구가 심하게 박동하는 심장의 소리를 나타냅니다... Docker 서버가 Doki에 감염된 경우 보안 팀의 구성원이 경험할 수 있는 바로 그 것입니다. 피팅 이름, 적어도 말을.
클라우드 인프라에 대한 의존도가 증가함에 따라 보안 모범 사례의 정밀도와 확장 가능한 효율성에 대한 필요성이 매우 중요하며, SDLC 전체에 컨테이너 보안을 위한 맞춤형 조치를 통해 안전한 애플리케이션 배포를 위해 최소한의 부분을 훨씬 초과해야 합니다.
사이버 공격은 점점 더 빈번해지고 있으며 Linux 기반 인프라에 영향을 미치는 위협이 점점 더 보편화되고 있으며, 최종 목표는 클라우드에 저장된 민감한 데이터의 전리품 상자를 열어 놓을 수 있는 기회가 되었습니다. Doki는 이를 목표로 하고 있으며, Docker 기반 보안 문제의 영역에서 이전에 볼 수 있는 것과는 달리 탐지되지 않고 강력하며 효과적인 여러 기술을 사용하는 것이 목표입니다.
도키는 무엇이며 어떻게 작동합니까?
많은 손상된 응용 프로그램에서 공통적인 주제와 마찬가지로 보안 오용은 소프트웨어 위반 방식에 매우 큰 역할을 합니다. Docker의 경우 특히 잘못 구성된 Docker 엔진 API는 공격자에게 유익한 것으로 입증되었습니다. Ngrok Botnet 암호 마이닝 봇은 2018 년부터 안전하지 않은 Docker 서버를 위해 스니핑하여 자체 컨테이너를 회전시키고 피해자의 인프라에서 악성 코드를 실행하고 있습니다.
Doki는 이 악성 코드의 더 교활하고 악의적인 버전으로 동일한 공격 벡터를 노출하는 동일한 봇넷을 통해 성공을 거두었습니다: API 오구성, 이는 서버의 코드 배포 또는 공개 가시성 전에 잘 해결되어야 합니다. Doki는 모든 사람이 가장 좋아하는 풍자 암호 화폐 인 Dogecoin의블록 체인을 사용하여 사실상 감지 할 수없는 백도어 역할을합니다. 그것은 스탠드로, 그것은 1 월 이후흔적의 많은없이 주위에 미끄러져있다.
악성 코드는 본질적으로 자체적으로 새로운 것이 아닌 C2 (명령 및 제어) 도메인 이름을 생성하기 위해 블록 체인 지갑을 남용하지만 Doki는 감염된 서버에서 원격 코드 실행을위한 지속적인 기능을 제공하여 랜섬웨어 및 DDoS와 같은 다양한 맬웨어 기반 공격을 제공합니다. 그것은 끈질기게, 처럼 "뼈와 도그", 만약 당신이 할 것 이다. Intezer의 좋은 사람들은 전체 위협과 거대한 페이로드에 대한 완전한 글을 작성했습니다.
코드에서 도키 통로를 발견.
Doki가 분산 된 블록 체인 네트워크에서 운영되는 백도어이며, 트랙을 커버하고 호스트의 더 많은 영역에 액세스하고 감염을 계속 확산하기 위해 애매하고 빠른 컨테이너 탈출 기술을 사용한다는 사실은 개발자와 보안 팀 모두에게 다소 악몽입니다.
그러나 Doki는 보안 API 포트가 있는 Docker 서버를 감염시킬 수 없습니다. 생산 중에 사람들을 구성하는 것은 광범위한 결과를 초래하는 실수이지만, 클라우드 개발자를위한 보안 인식과 실용적인 보안 코딩 기술에 대한 효과적인 교육은 이러한 복잡하고 어려운 악성 코드 조각에 직면하여 다소 "간단한"수정입니다.
Doki가 길을 찾고 확산을 시작할 수 있는 안전하지 않은 Docker API의 이 예를 살펴보겠습니다.
도커 -H tcp://0.0.0.0:2375
잘못된 구성을 발견할 수 있습니까? 보안 버전은 다음과 같습니다.
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/등/ssl/certs/server-cert.pem--tlskey=/등/ssl/private/server-key.pem
안전하지 않은 예에서 Docker Engine API는 포트 TCP 2375에서 수신 대기 중이며 연결 요청을 수락하므로 Docker 서버에 도달하는 모든 사용자가 사용할 수 있습니다.
보안 예제에서는 Docker Engine API가 TLS 인증서 유효성 검사를 사용하도록 구성되었으며 CA에서 신뢰할 수 있는 인증서를 제공하는 클라이언트의 연결만 수락합니다.
우리는 개발자가 Doki 감염의 근본 원인을 식별하고 수정하는 데 도움이되는 게임 화 도전의 모든 새로운 세트를 가지고 있으며, 여기에서 재생할 수 있습니다 :
보안 클라우드 인프라는 팀 스포츠입니다.
클라우드 오구성은 조직에 2018년과 2019년 동안 5조 달러에 달하는 놀라운 비용을 발생시켰으며, 이는 수십억 개의 노출 된 기록과 돌이킬 수 없는 평판 손상을 나타냅니다. 대체로 피할 수 있는 공격 벡터의 경우 다소 놀라운 통계입니다. 또한 노출된 포트를 모니터링하고 수정하는 것과 같은 측정값(배포 전 이상적으로), 알 수 없는 컨테이너를 확인하고 과도한 서버 부하를 주시하는 것은 Doki와 같은 것의 눈덩이 손상을 막을 수 있다고 생각하는 것은 마음의 평화를 위해 지불하는 작은 가격입니다.
전사적 보안 인식은 매우 중요하며 SDLC에 관련된 모든 사람에게 보안 모범 사례로 운영되는 것은 협상할 수 없습니다. 최고의 조직은 보안에 대한 책임이 공유되는 견고한 DevSecOps 프로세스에 전념하고 있으며 개발자와 AppSec 전문가는 공통의 취약점이 소프트웨어와 중요한 인프라에 진입하는 것을 막을 수 있는 지식과 도구를 가지고 있습니다.
보안 인식, 과급 된 클라우드 엔지니어로 시작하고 싶으십니까? 지금 당신의 능력을 테스트 시작.
サイバー攻撃はますます頻繁になり、Linuxベースのインフラストラクチャに影響を与える脅威もますます一般的になっています。最終目標は、クラウドに保存されている機密データの宝庫を開ける機会を得ることです。
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
일본어 오노마토포에이아에서는 "도키도키"("")라는 문구가 심하게 박동하는 심장의 소리를 나타냅니다... Docker 서버가 Doki에 감염된 경우 보안 팀의 구성원이 경험할 수 있는 바로 그 것입니다. 피팅 이름, 적어도 말을.
클라우드 인프라에 대한 의존도가 증가함에 따라 보안 모범 사례의 정밀도와 확장 가능한 효율성에 대한 필요성이 매우 중요하며, SDLC 전체에 컨테이너 보안을 위한 맞춤형 조치를 통해 안전한 애플리케이션 배포를 위해 최소한의 부분을 훨씬 초과해야 합니다.
사이버 공격은 점점 더 빈번해지고 있으며 Linux 기반 인프라에 영향을 미치는 위협이 점점 더 보편화되고 있으며, 최종 목표는 클라우드에 저장된 민감한 데이터의 전리품 상자를 열어 놓을 수 있는 기회가 되었습니다. Doki는 이를 목표로 하고 있으며, Docker 기반 보안 문제의 영역에서 이전에 볼 수 있는 것과는 달리 탐지되지 않고 강력하며 효과적인 여러 기술을 사용하는 것이 목표입니다.
도키는 무엇이며 어떻게 작동합니까?
많은 손상된 응용 프로그램에서 공통적인 주제와 마찬가지로 보안 오용은 소프트웨어 위반 방식에 매우 큰 역할을 합니다. Docker의 경우 특히 잘못 구성된 Docker 엔진 API는 공격자에게 유익한 것으로 입증되었습니다. Ngrok Botnet 암호 마이닝 봇은 2018 년부터 안전하지 않은 Docker 서버를 위해 스니핑하여 자체 컨테이너를 회전시키고 피해자의 인프라에서 악성 코드를 실행하고 있습니다.
Doki는 이 악성 코드의 더 교활하고 악의적인 버전으로 동일한 공격 벡터를 노출하는 동일한 봇넷을 통해 성공을 거두었습니다: API 오구성, 이는 서버의 코드 배포 또는 공개 가시성 전에 잘 해결되어야 합니다. Doki는 모든 사람이 가장 좋아하는 풍자 암호 화폐 인 Dogecoin의블록 체인을 사용하여 사실상 감지 할 수없는 백도어 역할을합니다. 그것은 스탠드로, 그것은 1 월 이후흔적의 많은없이 주위에 미끄러져있다.
악성 코드는 본질적으로 자체적으로 새로운 것이 아닌 C2 (명령 및 제어) 도메인 이름을 생성하기 위해 블록 체인 지갑을 남용하지만 Doki는 감염된 서버에서 원격 코드 실행을위한 지속적인 기능을 제공하여 랜섬웨어 및 DDoS와 같은 다양한 맬웨어 기반 공격을 제공합니다. 그것은 끈질기게, 처럼 "뼈와 도그", 만약 당신이 할 것 이다. Intezer의 좋은 사람들은 전체 위협과 거대한 페이로드에 대한 완전한 글을 작성했습니다.
코드에서 도키 통로를 발견.
Doki가 분산 된 블록 체인 네트워크에서 운영되는 백도어이며, 트랙을 커버하고 호스트의 더 많은 영역에 액세스하고 감염을 계속 확산하기 위해 애매하고 빠른 컨테이너 탈출 기술을 사용한다는 사실은 개발자와 보안 팀 모두에게 다소 악몽입니다.
그러나 Doki는 보안 API 포트가 있는 Docker 서버를 감염시킬 수 없습니다. 생산 중에 사람들을 구성하는 것은 광범위한 결과를 초래하는 실수이지만, 클라우드 개발자를위한 보안 인식과 실용적인 보안 코딩 기술에 대한 효과적인 교육은 이러한 복잡하고 어려운 악성 코드 조각에 직면하여 다소 "간단한"수정입니다.
Doki가 길을 찾고 확산을 시작할 수 있는 안전하지 않은 Docker API의 이 예를 살펴보겠습니다.
도커 -H tcp://0.0.0.0:2375
잘못된 구성을 발견할 수 있습니까? 보안 버전은 다음과 같습니다.
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/등/ssl/certs/server-cert.pem--tlskey=/등/ssl/private/server-key.pem
안전하지 않은 예에서 Docker Engine API는 포트 TCP 2375에서 수신 대기 중이며 연결 요청을 수락하므로 Docker 서버에 도달하는 모든 사용자가 사용할 수 있습니다.
보안 예제에서는 Docker Engine API가 TLS 인증서 유효성 검사를 사용하도록 구성되었으며 CA에서 신뢰할 수 있는 인증서를 제공하는 클라이언트의 연결만 수락합니다.
우리는 개발자가 Doki 감염의 근본 원인을 식별하고 수정하는 데 도움이되는 게임 화 도전의 모든 새로운 세트를 가지고 있으며, 여기에서 재생할 수 있습니다 :
보안 클라우드 인프라는 팀 스포츠입니다.
클라우드 오구성은 조직에 2018년과 2019년 동안 5조 달러에 달하는 놀라운 비용을 발생시켰으며, 이는 수십억 개의 노출 된 기록과 돌이킬 수 없는 평판 손상을 나타냅니다. 대체로 피할 수 있는 공격 벡터의 경우 다소 놀라운 통계입니다. 또한 노출된 포트를 모니터링하고 수정하는 것과 같은 측정값(배포 전 이상적으로), 알 수 없는 컨테이너를 확인하고 과도한 서버 부하를 주시하는 것은 Doki와 같은 것의 눈덩이 손상을 막을 수 있다고 생각하는 것은 마음의 평화를 위해 지불하는 작은 가격입니다.
전사적 보안 인식은 매우 중요하며 SDLC에 관련된 모든 사람에게 보안 모범 사례로 운영되는 것은 협상할 수 없습니다. 최고의 조직은 보안에 대한 책임이 공유되는 견고한 DevSecOps 프로세스에 전념하고 있으며 개발자와 AppSec 전문가는 공통의 취약점이 소프트웨어와 중요한 인프라에 진입하는 것을 막을 수 있는 지식과 도구를 가지고 있습니다.
보안 인식, 과급 된 클라우드 엔지니어로 시작하고 싶으십니까? 지금 당신의 능력을 테스트 시작.
일본어 오노마토포에이아에서는 "도키도키"("")라는 문구가 심하게 박동하는 심장의 소리를 나타냅니다... Docker 서버가 Doki에 감염된 경우 보안 팀의 구성원이 경험할 수 있는 바로 그 것입니다. 피팅 이름, 적어도 말을.
클라우드 인프라에 대한 의존도가 증가함에 따라 보안 모범 사례의 정밀도와 확장 가능한 효율성에 대한 필요성이 매우 중요하며, SDLC 전체에 컨테이너 보안을 위한 맞춤형 조치를 통해 안전한 애플리케이션 배포를 위해 최소한의 부분을 훨씬 초과해야 합니다.
사이버 공격은 점점 더 빈번해지고 있으며 Linux 기반 인프라에 영향을 미치는 위협이 점점 더 보편화되고 있으며, 최종 목표는 클라우드에 저장된 민감한 데이터의 전리품 상자를 열어 놓을 수 있는 기회가 되었습니다. Doki는 이를 목표로 하고 있으며, Docker 기반 보안 문제의 영역에서 이전에 볼 수 있는 것과는 달리 탐지되지 않고 강력하며 효과적인 여러 기술을 사용하는 것이 목표입니다.
도키는 무엇이며 어떻게 작동합니까?
많은 손상된 응용 프로그램에서 공통적인 주제와 마찬가지로 보안 오용은 소프트웨어 위반 방식에 매우 큰 역할을 합니다. Docker의 경우 특히 잘못 구성된 Docker 엔진 API는 공격자에게 유익한 것으로 입증되었습니다. Ngrok Botnet 암호 마이닝 봇은 2018 년부터 안전하지 않은 Docker 서버를 위해 스니핑하여 자체 컨테이너를 회전시키고 피해자의 인프라에서 악성 코드를 실행하고 있습니다.
Doki는 이 악성 코드의 더 교활하고 악의적인 버전으로 동일한 공격 벡터를 노출하는 동일한 봇넷을 통해 성공을 거두었습니다: API 오구성, 이는 서버의 코드 배포 또는 공개 가시성 전에 잘 해결되어야 합니다. Doki는 모든 사람이 가장 좋아하는 풍자 암호 화폐 인 Dogecoin의블록 체인을 사용하여 사실상 감지 할 수없는 백도어 역할을합니다. 그것은 스탠드로, 그것은 1 월 이후흔적의 많은없이 주위에 미끄러져있다.
악성 코드는 본질적으로 자체적으로 새로운 것이 아닌 C2 (명령 및 제어) 도메인 이름을 생성하기 위해 블록 체인 지갑을 남용하지만 Doki는 감염된 서버에서 원격 코드 실행을위한 지속적인 기능을 제공하여 랜섬웨어 및 DDoS와 같은 다양한 맬웨어 기반 공격을 제공합니다. 그것은 끈질기게, 처럼 "뼈와 도그", 만약 당신이 할 것 이다. Intezer의 좋은 사람들은 전체 위협과 거대한 페이로드에 대한 완전한 글을 작성했습니다.
코드에서 도키 통로를 발견.
Doki가 분산 된 블록 체인 네트워크에서 운영되는 백도어이며, 트랙을 커버하고 호스트의 더 많은 영역에 액세스하고 감염을 계속 확산하기 위해 애매하고 빠른 컨테이너 탈출 기술을 사용한다는 사실은 개발자와 보안 팀 모두에게 다소 악몽입니다.
그러나 Doki는 보안 API 포트가 있는 Docker 서버를 감염시킬 수 없습니다. 생산 중에 사람들을 구성하는 것은 광범위한 결과를 초래하는 실수이지만, 클라우드 개발자를위한 보안 인식과 실용적인 보안 코딩 기술에 대한 효과적인 교육은 이러한 복잡하고 어려운 악성 코드 조각에 직면하여 다소 "간단한"수정입니다.
Doki가 길을 찾고 확산을 시작할 수 있는 안전하지 않은 Docker API의 이 예를 살펴보겠습니다.
도커 -H tcp://0.0.0.0:2375
잘못된 구성을 발견할 수 있습니까? 보안 버전은 다음과 같습니다.
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/등/ssl/certs/server-cert.pem--tlskey=/등/ssl/private/server-key.pem
안전하지 않은 예에서 Docker Engine API는 포트 TCP 2375에서 수신 대기 중이며 연결 요청을 수락하므로 Docker 서버에 도달하는 모든 사용자가 사용할 수 있습니다.
보안 예제에서는 Docker Engine API가 TLS 인증서 유효성 검사를 사용하도록 구성되었으며 CA에서 신뢰할 수 있는 인증서를 제공하는 클라이언트의 연결만 수락합니다.
우리는 개발자가 Doki 감염의 근본 원인을 식별하고 수정하는 데 도움이되는 게임 화 도전의 모든 새로운 세트를 가지고 있으며, 여기에서 재생할 수 있습니다 :
보안 클라우드 인프라는 팀 스포츠입니다.
클라우드 오구성은 조직에 2018년과 2019년 동안 5조 달러에 달하는 놀라운 비용을 발생시켰으며, 이는 수십억 개의 노출 된 기록과 돌이킬 수 없는 평판 손상을 나타냅니다. 대체로 피할 수 있는 공격 벡터의 경우 다소 놀라운 통계입니다. 또한 노출된 포트를 모니터링하고 수정하는 것과 같은 측정값(배포 전 이상적으로), 알 수 없는 컨테이너를 확인하고 과도한 서버 부하를 주시하는 것은 Doki와 같은 것의 눈덩이 손상을 막을 수 있다고 생각하는 것은 마음의 평화를 위해 지불하는 작은 가격입니다.
전사적 보안 인식은 매우 중요하며 SDLC에 관련된 모든 사람에게 보안 모범 사례로 운영되는 것은 협상할 수 없습니다. 최고의 조직은 보안에 대한 책임이 공유되는 견고한 DevSecOps 프로세스에 전념하고 있으며 개발자와 AppSec 전문가는 공통의 취약점이 소프트웨어와 중요한 인프라에 진입하는 것을 막을 수 있는 지식과 도구를 가지고 있습니다.
보안 인식, 과급 된 클라우드 엔지니어로 시작하고 싶으십니까? 지금 당신의 능력을 테스트 시작.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
일본어 오노마토포에이아에서는 "도키도키"("")라는 문구가 심하게 박동하는 심장의 소리를 나타냅니다... Docker 서버가 Doki에 감염된 경우 보안 팀의 구성원이 경험할 수 있는 바로 그 것입니다. 피팅 이름, 적어도 말을.
클라우드 인프라에 대한 의존도가 증가함에 따라 보안 모범 사례의 정밀도와 확장 가능한 효율성에 대한 필요성이 매우 중요하며, SDLC 전체에 컨테이너 보안을 위한 맞춤형 조치를 통해 안전한 애플리케이션 배포를 위해 최소한의 부분을 훨씬 초과해야 합니다.
사이버 공격은 점점 더 빈번해지고 있으며 Linux 기반 인프라에 영향을 미치는 위협이 점점 더 보편화되고 있으며, 최종 목표는 클라우드에 저장된 민감한 데이터의 전리품 상자를 열어 놓을 수 있는 기회가 되었습니다. Doki는 이를 목표로 하고 있으며, Docker 기반 보안 문제의 영역에서 이전에 볼 수 있는 것과는 달리 탐지되지 않고 강력하며 효과적인 여러 기술을 사용하는 것이 목표입니다.
도키는 무엇이며 어떻게 작동합니까?
많은 손상된 응용 프로그램에서 공통적인 주제와 마찬가지로 보안 오용은 소프트웨어 위반 방식에 매우 큰 역할을 합니다. Docker의 경우 특히 잘못 구성된 Docker 엔진 API는 공격자에게 유익한 것으로 입증되었습니다. Ngrok Botnet 암호 마이닝 봇은 2018 년부터 안전하지 않은 Docker 서버를 위해 스니핑하여 자체 컨테이너를 회전시키고 피해자의 인프라에서 악성 코드를 실행하고 있습니다.
Doki는 이 악성 코드의 더 교활하고 악의적인 버전으로 동일한 공격 벡터를 노출하는 동일한 봇넷을 통해 성공을 거두었습니다: API 오구성, 이는 서버의 코드 배포 또는 공개 가시성 전에 잘 해결되어야 합니다. Doki는 모든 사람이 가장 좋아하는 풍자 암호 화폐 인 Dogecoin의블록 체인을 사용하여 사실상 감지 할 수없는 백도어 역할을합니다. 그것은 스탠드로, 그것은 1 월 이후흔적의 많은없이 주위에 미끄러져있다.
악성 코드는 본질적으로 자체적으로 새로운 것이 아닌 C2 (명령 및 제어) 도메인 이름을 생성하기 위해 블록 체인 지갑을 남용하지만 Doki는 감염된 서버에서 원격 코드 실행을위한 지속적인 기능을 제공하여 랜섬웨어 및 DDoS와 같은 다양한 맬웨어 기반 공격을 제공합니다. 그것은 끈질기게, 처럼 "뼈와 도그", 만약 당신이 할 것 이다. Intezer의 좋은 사람들은 전체 위협과 거대한 페이로드에 대한 완전한 글을 작성했습니다.
코드에서 도키 통로를 발견.
Doki가 분산 된 블록 체인 네트워크에서 운영되는 백도어이며, 트랙을 커버하고 호스트의 더 많은 영역에 액세스하고 감염을 계속 확산하기 위해 애매하고 빠른 컨테이너 탈출 기술을 사용한다는 사실은 개발자와 보안 팀 모두에게 다소 악몽입니다.
그러나 Doki는 보안 API 포트가 있는 Docker 서버를 감염시킬 수 없습니다. 생산 중에 사람들을 구성하는 것은 광범위한 결과를 초래하는 실수이지만, 클라우드 개발자를위한 보안 인식과 실용적인 보안 코딩 기술에 대한 효과적인 교육은 이러한 복잡하고 어려운 악성 코드 조각에 직면하여 다소 "간단한"수정입니다.
Doki가 길을 찾고 확산을 시작할 수 있는 안전하지 않은 Docker API의 이 예를 살펴보겠습니다.
도커 -H tcp://0.0.0.0:2375
잘못된 구성을 발견할 수 있습니까? 보안 버전은 다음과 같습니다.
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/등/ssl/certs/server-cert.pem--tlskey=/등/ssl/private/server-key.pem
안전하지 않은 예에서 Docker Engine API는 포트 TCP 2375에서 수신 대기 중이며 연결 요청을 수락하므로 Docker 서버에 도달하는 모든 사용자가 사용할 수 있습니다.
보안 예제에서는 Docker Engine API가 TLS 인증서 유효성 검사를 사용하도록 구성되었으며 CA에서 신뢰할 수 있는 인증서를 제공하는 클라이언트의 연결만 수락합니다.
우리는 개발자가 Doki 감염의 근본 원인을 식별하고 수정하는 데 도움이되는 게임 화 도전의 모든 새로운 세트를 가지고 있으며, 여기에서 재생할 수 있습니다 :
보안 클라우드 인프라는 팀 스포츠입니다.
클라우드 오구성은 조직에 2018년과 2019년 동안 5조 달러에 달하는 놀라운 비용을 발생시켰으며, 이는 수십억 개의 노출 된 기록과 돌이킬 수 없는 평판 손상을 나타냅니다. 대체로 피할 수 있는 공격 벡터의 경우 다소 놀라운 통계입니다. 또한 노출된 포트를 모니터링하고 수정하는 것과 같은 측정값(배포 전 이상적으로), 알 수 없는 컨테이너를 확인하고 과도한 서버 부하를 주시하는 것은 Doki와 같은 것의 눈덩이 손상을 막을 수 있다고 생각하는 것은 마음의 평화를 위해 지불하는 작은 가격입니다.
전사적 보안 인식은 매우 중요하며 SDLC에 관련된 모든 사람에게 보안 모범 사례로 운영되는 것은 협상할 수 없습니다. 최고의 조직은 보안에 대한 책임이 공유되는 견고한 DevSecOps 프로세스에 전념하고 있으며 개발자와 AppSec 전문가는 공통의 취약점이 소프트웨어와 중요한 인프라에 진입하는 것을 막을 수 있는 지식과 도구를 가지고 있습니다.
보안 인식, 과급 된 클라우드 엔지니어로 시작하고 싶으십니까? 지금 당신의 능력을 테스트 시작.
목차
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
