بدافزار Kinsing

حملات با بدافزار Kinsing ؛

یک پیکربندی اشتباه در پورت API باعث شده است که مجرمان سایبری روزانه هزاران مورد حملات از طریق بدافزار  Kinsing  را انجام دهند.

بدافزار Kinsing چیست؟

یک گروه سایبری حمله ای را بصورت سیستماتیک به پورت های Docker Daemon API که به صورت نادرست پیکربندی شده بودند را انجام داد. آنها پس از اسکن توانستند با موفقیت اسکریپت های پوسته و سایر ابزارها را بر روی شبکه نصب و بدافزار را بصورت مخفیانه نصب نمایند. بدافزار Kinsing از پورت های API بدون رمز عبور در اینترنت برای اسکن سرورهای Docker استفاده می کند(بوژه پورت 6379). در این حملات هکرها یک بدافزار مخربی را به نام Kinsing برای استخراج رمز ارز بر روی سیستم های میزبان(که از آنها محافظت نشده) نصب می نمایند.

سیستم های مورد حمله قرار گرفته، دسترسی بدون محدودیت و گسترده ای را به منابع محاسباتی برای هکرها فراهم می کنند. یک محقق امنیتی آکوآ معتقد است هنگامی که هکرها یک نمونه Docker را با پورت API پیدا می کنند، از دسترسی ارائه شده توسط این پورت در اوبونتو استفاده می کنند و در آنجا بدافزار Kinsing را بارگیری و نصب می کنند.

هدف بدافزار  Kinsing

هدف اصلی بدافزار Kinsing استخراج رمز ارز است، که اجرای اسکریپت آن باعث می شود که بدافزارهای دیگر نیز که به صورت محلی اجرا می شوند از بین بروند. همچنین با جمع آوری اطلاعات مربوط به SSH در شبکه کانتینر یک شرکت، سایر سیستم های ابری را با همان بدافزار آلوده می کنند. از آنجا که حملات بدافزار Kinsing هنوز در جریان است،  توصیه شده است که شرکت ها تنظیمات امنیتی مربوط به Docker خود را بررسی کنند و مطمئن شوند هیچ API مدیریتی به صورت آنلاین در معرض نمایش نیست. چنین مواردی باید در پشت دیوار آتش یا پورت های VPN قرار داشته باشند و یا در صورت عدم استفاده غیرفعال شوند.

مهاجمان در صورت موفقیت در حمله، یک اسکریپت shell را بر روی میزبان آلوده قرار می دهند. گفته می شود در حالی که حملات بر روی استخراج کنندگان می تواند برای انواع مختلف رمز ارزها طراحی شود اما هدف اصلی در این مورد بیت کوین است.

به منظور کشف اهداف بالقوه و تعیین اطلاعات لازم برای احراز هویت، این اسکریپت اطلاعاتی را از { /.ssh/config, .bash_history, /.ssh/known_hosts } و موارد دیگر جمع آوری می کند. با استفاده از اطلاعات جمع آوری شده، بدافزار Kinsing  تلاش می کند تا با استفاده از کاربر و کلید ترکیبی(از طریقSSH ) به میزبان متصل شود تا اسکریپت پوسته فوق را بارگیری کرده و بدافزار Kinsing  را روی میزبانها یا کانتینرهای دیگر در شبکه اجرا کند.

سپس مهاجمان با استفاده از دستور SSH به سایر ماشین های داخل شبکه متصل شده و به اطراف حرکت می کنند. هدف نهایی این نفوذ ماینر بیت کوین است. چندین سال است که مهاجمان از دسترسی غیرقانونی به شبکه ها و محیط های ابری برای اجرای رمزنگاری استفاده می کنند، اما اغلب این موارد برای Monero یا برخی از رمز ارزهای مبهم به جای بیت کوین است که اکنون استخراج آن بسیار دشوارتر شده است. محیط های ابری اهداف معمول برای این نوع حمله هستند زیرا به طور معمول منابع عظیمی دارند که می توانند برای هر هدف مهاجم استفاده شوند.

بطورکلی انجام یک بررسی دقیق از محیط کانتینر برای هر فرد آسیب پذیر در برابر حمله ضروری است. که شامل فعالیت مشکوک کاربر در پرونده های ورود به سیستم و بررسی مواردی که باید حداقل تنظیمات امنیتی اعمال شود اما متاسفانه اعمال نشده است. فراتر از آن، سازمان ها باید تشخیص دهند که مسئولیت های امنیتی کانتینرکجا و با چه کسی است؟ ممکن است کارمندان با برخی از موارد سروکار داشته باشند اما برخی دیگر نه. مدیریت آسیب پذیری و نظارت مستمر بر روی رویدادها  باید مستقیماً تحت نظر کنترل تیم امنیتی IT باشند.

در این مسیر می توانید بررسی کنید که آیا بدافزاری در حال اجرا است یا خیر:

find / -name kdevtmpfsi
find / -name kinsing

چنین حملاتی اولین بار در بهار سال 2018 آغاز شد.  Aqua  و Sysdig اولین شرکت هایی بودند که حملات علیه سیستم های   Docker را در آن زمان کشف کردند.

منابع مورد استفاده دراین مقاله:

createit.com

duo.com

securityintelligence.com

zdnet.com