Docker デーモンのオープンポートを狙うマルウェア、目的はボット感染とマイニング

設定の不備や誤りにより重要情報が外部に流出してしまう事故は後を絶ちません。サイバー犯罪者も自身が管理する情報の「セキュリティ」には無頓着な場合があり、不正サーバ上にマルウェアなどを含むオープンディレクトリが確認されることがよくあります。今回、誰でも入手可能な状態になっていた不審ファイルのいくつかを解析したところ、Docker デーモンのオープンポートをスキャンして侵入する、暗号資産(仮想通貨)を発掘する不正コインマイナーと、分散型サービス拒否(DDoS)攻撃を実行させるボット型マルウェアが見つかりました。これらのマルウェアが発見された不正サーバは、外部のリサーチャーであるMalwareHunterTeamがTwitterで報告したものと同一です。

図1:シェルスクリプト「mxutzh.sh」

このマルウェアによる攻撃は、開いている2375、2376、2377、4243、4244のポートをスキャンする「mxutzh.sh」という名称のシェルスクリプトから開始されます。コインマイナーとDDoS攻撃用のボットをホストするAlpine Linuxのコンテナを作成します。シェルスクリプトが作成したコンテナは、別のシェルスクリプト「init.sh」をダウンロードします。init.shは次に、以下のようなコンポーネント各種をドロップして実行します。

図2:他のコンポーネントを実行するinit.sh
  • clean.sh―他のコインマイナーとマルウェアを検索して削除する。また、マルウェア「Kinsing」(これも脆弱なDockerサーバを標的とするマルウェアとされる)を削除する
  • dns―DDoS攻撃を実行するボット「Kaiten」あるいは「Tsunami」の本体ファイル
  • lan.ssh.kinsing.ssh―SSH経由で情報探索活動を実行する
  • NarrenKappe.sh―他のコンポーネントが使用するためのポートを許可するようファイアウォールを設定し、/etc/hostsファイルを編集して他のドメイン名をシンクホール化する。また、ホストコンピュータから機密情報を収集する
  • setup.basics.sh―他のコンポーネントが必要とするユーティリティがシステムにインストールされていることを確認する
  • setup.mytoys.sh―ログクリーナーのソースコードをダウンロードしてコンパイルする。このスクリプトはまた、攻撃者がネットワーク内の他のデバイスへ転向するために使用できる、侵入後に利用されるツール「punk.py」もダウンロードする
  • setup.xmrig.curl.sh―ペイロードであるコインマイナーをダウンロードしてインストールする
  • sysinfo―さまざまなシステム情報を収集しコマンド&コントロール(C&C)サーバに報告する
図3:Kinsingを削除するclean.shコンポーネント
図4:ファイルから情報を収集する機能を備えるNarrenKappe.shスクリプト

誤って設定されたDockerコンテナは、常にこのような脅威による危険にさらされています。過去にはボットネットコインマイナーを使用した攻撃が報告されています。

Dockerを標的とする攻撃に対処するには

クラウド環境を採用する企業や組織が増えるにつれ、クラウドへのデプロイが比較的容易であるDockerコンテナの人気が高まっています。コンテナ環境を保護するために、以下のベストプラクティスを推奨します。

  • コンテナ運用に最適化したOSでコンテナをホストし、攻撃の侵入口を最小化する
  • IPS(侵入防御システム)やURLフィルタなどの保護機能を使用して、ネットワークトラフィックをチェックする
  • リスクを軽減させるために、アクセス権限を必要とする人だけに制限する
  • Dockerが推奨するセキュリティのベストプラクティスを実行する
トレンドマイクロの対策

トレンドマイクロの「Hybrid Cloud Security」では、物理・仮想・クラウドの混在環境にシンプルな自動化されたセキュリティを提供し、環境を問わずにワークロードを保護します。特にコンテナ環境でのセキュリティとして以下を提供しています。

  • クラウド環境に対する脅威をスキャン・可視化し保護するTrend Micro Cloud One™Container Security(現製品名:Trend Micro Deep Security Smart Check™)は、コンテナイメージおよびレジストリを自動的にスキャンします。
  • Trend Micro Cloud One™ Workload Security(現製品名:Trend Micro Deep Security ™ as a Service)は、機械学習型検索や仮想パッチなどのセキュリティ機能により、ワークロードを保護します。
侵入の痕跡(Indicators of CompromiseIoC

今回の記事に関する侵入の痕跡はこちらを参照してください。

調査協力:Augusto Remillano II およびJemimah Molina

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)