TeamTNT 使用 Weave Scop 攻擊 Docker 和 Kubernetes 獲得對云實例的完全遠程接管

網絡犯罪組織使用一個稱為Weave Scope的合法工具，在目標Docker和Kubernetes集群上建立了無文件后門。

據研究人員稱，TeamTNT網絡犯罪團伙卷土重來，他們通過濫用一種名為Weave Scope的合法云監控工具攻擊Docker和Kubernetes云實例。

開源的Weave Scope“為您的應用程序以及整個基礎架構提供了自上而下的視圖，并允許您實時診斷將分布式容器化應用程序部署到云提供商時遇到的任何問題，”根據其網站。

換句話說，Intezer的研究人員解釋說，這是一個值得信賴的工具，可以使用戶完全訪問云環境。它可以與Docker，Kubernetes，分布式云操作系統（DC / OS）和AAmazon Web Services Elastic Compute Cloud(ECS)集成-它使網絡犯罪分子可以完美地進入公司的云基礎架構。

Intezer的惡意軟件分析師 Nicole Fishbein 在周二的帖子中解釋說：“攻擊者安裝此工具是為了映射受害者的云環境并執行系統命令，而無需在服務器上部署惡意代碼。” “當被濫用時，Weave Scope可以使攻擊者完全了解并控制受害人云環境中的所有資產，本質上是充當后門。”

因此，攻擊者可以訪問有關受害者服務器環境的所有信息，還可以控制已安裝的應用程序，在云工作負載之間建立或斷開連接，使用內存和CPU以及“具有啟動功能的現有容器列表” ，停止并打開其中任何一個容器中的交互式外殼，”研究人員說。

攻擊場景

Intezer已經看到了許多這類攻擊。關于濫用的開始方式，攻擊者首先找到一個暴露的，配置錯誤的Docker API端口，Fishbein詳細介紹-配置錯誤是大多數云計算攻擊的起點。然后，他們可以使用該端口使用干凈的Ubuntu映像創建新的特權容器。

她解釋說：“容器配置為將容器的文件系統安裝到受害服務器的文件系統，從而使攻擊者可以訪問服務器上的所有文件。” “然后，攻擊者試圖通過在主機服務器上設置名為’hilde’的本地特權用戶并使用它來通過SSH重新連接來獲得對服務器的root訪問。”

在最近發現的一系列攻擊中，一旦“入侵”，提供給容器的初始命令就是下載并執行多個加密器。但是接下來，攻擊者下載并安裝 Weave Scope。

Fishbein說：“如 Weave Scope 的git中的安裝指南中所述，只需很少的命令即可完成該工具的安裝。” “一旦安裝，攻擊者就可以通過HTTP在端口4040上連接到Weave Scope儀表板，并獲得對受害者基礎結構的完全可見性和控制權。”

微軟還觀察了該組織采用Weave Scope的最新活動，發現最初的訪問點實際上是Weave Scope本身配置錯誤并公開暴露。

微軟研究人員在幾個Azure Kubernetes服務（AKS）群集上發現了一個惡意的TeamTNT映像（AKS是托管的Kubernetes服務，使客戶可以輕松地在Azure中部署Kubernetes群集）。然后，他們研究了如何將這些映像部署到AKS環境中。

該公司在周二的帖子中表示：“在這種情況下，由于AKS節點已配置了正確的Docker服務器配置，因此Docker API服務暴露給互聯網的可能性較小。” “因此，我們可以假設攻擊者在這些事件中具有不同的訪問媒介。當我們尋找受此映像感染的各種Kubernetes集群的通用部署時，我們注意到它們都具有開放的Weave Scope服務。”

通過基于瀏覽器的儀表板提供有關受害環境的信息，該儀表板提供Docker運行時云環境的可視化地圖。該儀表板還可用于發出Shell命令-無需TeamTNT在服務器本身上運行代碼。

TeamTNT小組專門研究攻擊云，通常使用惡意Docker映像進行攻擊，并證明了自己的創新能力。Fishbein說，這一系列最新的感染似乎是第一次在云攻擊中使用這種合法工具。TeamTNT之前也有文檔記載在AWS內部署獨特且罕見的憑證竊取蠕蟲。

與大多數云威脅一樣，對云工作負載和服務進行適當配置，以使它們不會暴露在開放的互聯網中，可以阻止這些攻擊。因此，Fishbein建議公司關閉所有公開的Docker API端口，或至少限制通過防火墻策略的訪問，并阻止到端口4040的傳入連接，這是Weave Scope使儀表板可訪問的默認設置。

微軟表示：“由于默認情況下，Weave Scope不使用任何身份驗證，因此將該服務暴露在互聯網上會帶來嚴重的安全風險。” “而且，我們仍然看到集群管理員啟用了對此接口以及其他類似服務的公共訪問。包括該組在內的攻擊者利用這種錯誤配置，并使用公共訪問權來入侵Kubernetes集群。”