Breaking News

นักวิจัยพบการโจมตีแบบใหม่ ใช้ Docker API ซ่อน Malware

นักวิจัยด้านความมั่นคงปลอดภัยจาก Aqua Security ได้คิดค้นแนวทางในการโจมตีแบบใหม่และนำไปสาธิตในงาน Black Hat โดยอาศัย Docker API เพื่อซ่อน Malware ภายในระบบเป้าหมาย และทำ Remote Code Execution ได้

Credit: Docker

 

การโจมตีนี้เกิดขึ้นได้บนเครื่องที่ติดตั้ง Docker เอาไว้ และเปิด Docker API ให้เชื่อมต่อได้ผ่านทาง TCP ซึ่งมักจะพบได้ในเครื่อง PC ที่ติดตั้ง Docker for Windows สำหรับเอาไว้พัฒนาและทดสอบ Containerized Application โดยการโจมตีนี้จะเริ่มขึ้นด้วยการหลอกให้นักพัฒนาทำการใช้ Docker for Windows เพื่อเชื่อมต่อไปยังเว็บไซต์ที่มี JavaScript พิเศษสำหรับทำการโจมตีโดยเฉพาะฝังเอาไว้ ซึ่ง JavaScript นี้มีคุณสมบัติในการ Bypass การทำ Same Origin Prolicy เพื่อการรักษาความมั่นคงปลอดภัยของ Browser ได้ และผู้โจมตีก็จะทำการเข้าถึง Docker API และใช้ทำสิ่งต่างๆ ได้มากมาย แม้กระทั่งการสร้าง Docker Container ใหม่ขึ้นมาทำการโจมตีก็ได้เช่นกัน นอกจากนี้ ผู้โจมตียังอาจสร้าง Container ใหม่ขึ้นมาบนเครื่องและพยายามเพิ่มระดับสิทธิ์ในการเข้าถึงเครื่อง Host ได้อีกด้วย

อย่างไรก็ดี ในการโจมตีนี้ยังต้องอาศัยเทคนิคการโจมตีที่มีชื่อเรียกว่า Host Rebinding Attack ซึ่งเป็นวิธีการที่คล้ายคลึงกับการทำ DNS Rebinding Attack โดยการโจมตี Name Resolution Protocol ของ Microsoft เพื่อมุ่งเป้าไปยัง Virtual Interface ทำให้การโจมตีเหล่านี้ไม่สามารถถูกตรวจจับได้ผ่านระบบเครือข่าย

ผลลัพธ์ที่เกิดขึ้นนี้ก็คือการที่ผู้โจมตีสามารถมี Container ทำงานอยู่ใน Hyper-V VM ของผู้ถูกโจมตี และใช้ระบบเครือข่ายร่วมกันเครื่องนั้นๆ รวมถึงสั่งให้เรียกใช้งานคำสั่งต่างๆ ได้ตามต้องการ และสามารถส่งคำสั่งไปยัง Docker Daemon REST API ได้แล้ว อีกทั้งยังสามารถเข้าถึง Root Access ของ Moby Linux VM ได้อย่างสมบูรณ์ ซึ่งขั้นตอนถัดไปก็คือการสร้าง Shadow Container ขึ้นมาเพื่อให้การเจาะระบบครั้งนี้ยังคงใช้งานได้อยู่แม้ว่า Virtual Machine หรือ Host จะถูก Reboot ไปก็ตาม ด้วยการพัฒนา Container Shutdown Script ให้ยังคงเก็บ Script และ State ที่ใช้ในการโจมตีได้

ความน่าสนใจของการโจมตีด้วยวิธีนี้ คือการที่แทบจะยังไม่มีโซลูชันทางด้านการรักษาความมั่นคงปลอดภัยในตลาดตรวจพบการโจมตีเหล่านี้ได้เลย และยังทำให้ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายขององค์กรได้อย่างต่อเนื่องตลอดเวลาอีกด้วย โดยทาง Aqua Security ก็ได้รายงานปัญหานี้ไปยัง Docker แล้ว ทำให้ Docker ออกมาโต้ตอบด้วยการเปลี่ยน Default Configuration ให้ปิด HTTP Port เอาไว้ เพื่อลดความเสี่ยงที่อาจจะถูกโจมตีในลักษณะนี้ได้

สำหรับผู้ใช้งาน Docker for Windows ควรอัปเดตให้เป็นรุ่นล่าสุด, เปิดให้เฉพาะผู้ใช้งานที่มีการยืนยันตัวตนด้วย Certificate เข้าถึง Port ที่เปิดเอาไว้ได้, ปิด Port 2375 บน Moby Linux VM ทาง Firewall และปิด LLMNR และ NetBIOS บน Endpoint ทั้งหมด

 

ที่มา: https://threatpost.com/attack-uses-docker-containers-to-hide-persist-plant-malware/126992/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ISO ออกมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management

ISO ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management ซึ่งเป็นส่วนต่อขยายจาก ISO/IEC 27001 และ ISO/IEC 27002 สำหรับเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมั่นคงปลอดภัย นำไปประยุกต์ใช้ให้สอดคล้องกับ …

SQL Server 2019 Release Candidate ออกแล้ว

Microsoft ได้ประกาศออก SQL Server 2019 เวอร์ชัน Release Candidate ออกมาให้ทดสอบกันได้แล้ว