Le malware Xanthe s’attaque aux serveurs Docker mal configurés

0

Les chercheurs ont découvert un botnet de crypto-minage de Monero qu’ils appellent Xanthe. Ce botnet exploitait des installations d’API Docker mal configurées afin d’infecter les systèmes Linux.

Xanthe a été découvert pour la première fois dans une campagne utilisant un botnet multi-modulaire, ainsi qu’une charge utile qui est une variante du mineur de crypto-monnaie XMRig Monero. Les chercheurs ont déclaré que le logiciel malveillant utilise diverses méthodes pour se propager sur le réseau, notamment la collecte de certificats côté client pour se propager à des hôtes connus via Secure Shell (SSH).

«Nous pensons que c’est la première fois que quiconque documente les opérations de Xanthe», ont déclaré des chercheurs de Cisco Talos dans une analyse. «L’acteur maintient activement tous les modules et est actif depuis le mois de Mars de cette année.»

Les chercheurs ont d’abord découvert Xanthe ciblant un honeypot qu’ils avaient créé dans le but de découvrir les menaces de Docker. Il s’agit d’un simple serveur émulant certains aspects de l’API Docker HTTP.

Vanja Svajcer, chercheuse chez Cisco Talos, a déclaré que les chercheurs n’ont pas accès au montant qui a été collecté par Xanthe.

«En règle générale, les crypto-mineurs recherchent de gros chiffres, ce qui signifie généralement les systèmes de bureau Windows», a déclaré Svajcer. «Mais avec la croissance des environnements cloud, il y a de plus en plus d’hôtes sur Internet qui exécutent Linux et qui sont exposés aux attaques et qui ne sont pas aussi bien sécurisés que les systèmes Windows internes. Xanthe démontre que les systèmes non Windows sont des cibles très attractives pour les individus malveillants. »

Xanthe, nommé d’après le titre du fichier du script de diffusion principal, utilise un script de téléchargement initial (pop.sh) pour télécharger et exécuter son module bot principal (xanthe.sh). Ce module télécharge et exécute ensuite quatre modules supplémentaires avec diverses fonctionnalités d’anti-détection et de persistance.

xanthe

Ces quatre modules supplémentaires comprennent: Un module de masquage de processus (libprocesshider.so); un script shell pour désactiver d’autres mineurs et services de sécurité (xesa.txt); un script shell pour supprimer les conteneurs Docker des chevaux de Troie de crypto-minage concurrents ciblant Docker (fczyo); et le binaire XMRig (ainsi qu’un fichier de configuration JSON, config.json).

Une fois téléchargé, le module principal est également chargé de se propager à d’autres systèmes sur les réseaux locaux et distants. Il tente de se propager à d’autres hôtes connus en volant des certificats côté client et en se connectant à eux sans avoir besoin d’un mot de passe.

Xanthe contient une fonction de diffusion, localgo, qui commence par récupérer une adresse IP visible de l’extérieur de l’hôte infecté (en se connectant à icanhazip.com). Le script utilise ensuite un utilitaire «find» pour rechercher des instances de certificats côté client, qui seront utilisés pour l’authentification auprès des hôtes distants.

«Une fois que toutes les clés possibles ont été trouvées, le script procède à la recherche des hôtes connus, des ports TCP et des noms d’utilisateur utilisés pour se connecter à ces hôtes», ont déclaré les chercheurs. «Enfin, une boucle est entrée qui itère sur la combinaison de tous les noms d’utilisateur, hôtes, clés et ports connus pour tenter de se connecter, s’authentifier sur l’hôte distant et lancer les lignes de commande pour télécharger et exécuter le module principal sur le système distant. « 

Les serveurs Docker mal configurés sont un autre vecteur utilisé par Xanthe pour se propager. Les chercheurs ont déclaré que les installations Docker peuvent être facilement mal configurées et que le daemon de Docker est exposé à des réseaux externes avec un niveau de sécurité minimal.

Plusieurs campagnes ont précédé Xanthe

Diverses campagnes précédentes ont profité de ces installations Docker mal configurées; par exemple, en Septembre, le gang de cybercriminalité TeamTNT a été repéré en train d’attaquer des instances cloud Docker et Kubernetes en abusant d’un outil légitime de surveillance du cloud appelé Weave Scope. En Avril, une campagne de crypto-minage organisée et auto-propagée a été découverte ciblant des ports API Docker Daemon ouverts et mal configurés; et en Octobre 2019, plus de 2000 hôtes Docker Engine (Community Edition) non sécurisés ont été infectés par un ver cypto-jacking appelé Graboid.

xanthe

Au moment d’écrire ces lignes, selon Shodan, il existe plus de 6000 implémentations Docker incorrectement configurées exposées sur Internet. Comme on l’a vu dans le cas de Xanthe, les attaquants trouvent activement des moyens d’exploiter ces serveurs exposés.

«Bien que Docker reste un outil essentiel pour le développement et le déploiement d’applications, il convient de rappeler que sa courbe d’apprentissage est abrupte», ont déclaré les chercheurs. «L’installation n’est pas sécurisée par défaut et il est facile de laisser son API exposée aux attaquants à la recherche de ressources ‘gratuites’ qu’ils peuvent utiliser pour exécuter des conteneurs personnalisés et mener des attaques.»

Laisser un commentaire