Разработчики Docker удалили из официального Docker Hub 17 образов с бэкдорами - «Новости»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Заждались: продажи S.T.A.L.K.E.R. 2: Heart of Chornobyl за два дня после релиза превысили миллион копий - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Блогер показал, как пройти Baldur’s Gate 3, не делая в бою абсолютно ничего - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
Microsoft открыла доступ к скандальной ИИ-функции Recall — пользователям разрешили ограничить её «подглядывания» - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
У Nvidia нашлась ахиллесова пята — треть выручки зависит от настроения трёх клиентов - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Представлен 80-долларовый смартфон Tecno Pop 9 — с Helio G50 и батареей на 5000 мА·ч - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Первая за 11 лет новая книга Анджея Сапковского из цикла «Ведьмак» получила название «Перекрёсток воронов» — первые подробности - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Роскомнадзор с декабря начнёт блокировать сайты за публикацию научной информации о VPN - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
Миллионер с зарплатой сантехника: выяснилось, сколько зарабатывает глава OpenAI - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
SpaceX рассказала, почему затопила ракету Super Heavy во время последнего запуска Starship - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Представлена технология охлаждения чипов светом — секретная и только по предварительной записи - «Новости сети»
Новости мира Интернет » Новости » Разработчики Docker удалили из официального Docker Hub 17 образов с бэкдорами - «Новости»

Из официального реестра Docker Hub были удалены сразу 17 образов контейнеров, содержавших  бэкдоры. Через них на серверы пользователей проникали майнеры и обратные шеллы.


Так как образы Docker перед публикацией в Docker Hub не проходят тестирование и серьезный аудит безопасности, вредоносные решения были размещены в реестре без особенного труда. Сообщается, что образы были активны с мая 20017 года по май 2018 года, после чего все же были замечены ИБ-экспертами.


Все 17 образов были загружены одним и тем же злоумышленником или группой лиц, скрывавшихся под псевдонимом docker123321. Один из образов был скачан и установлен более миллиона раз, а на счету других «всего лишь» сотни тысяч установок.


Сообщения о странных проблемах в Docker и Kubernetes начали появляться еще осенью прошлого года. Пользователи жаловались на вредоносную активность на своих облачных серверах. К примеру, такие сообщения нетрудно обнаружить на GitHub или в Twitter. Об этих инцидентах писали независимые специалисты по информационной безопасности, а также компании Sysdig и Aqua Security. Однако всерьез происходящим заинтересовались только аналитики Fortinet и Kromtech, и именно специалистам этих компаний удалось «соединить все точки» и разобраться в случившемся.


Эксперты Fortinet опубликовали свой отчет еще в середине мая 2018 года, вскоре после удаления 17 вредоносных образов с Docker Hub. Специалисты напрямую связывали проблему скрытого майнинга с образами Docker и аккаунтом docker123321.


Аналитики Kromtech, в свою очередь, обнародовали свою версию отчета только на этой неделе, и их исследование детально описывает все произошедшие события, начиная с 2017 года. Экспертам удалось установить даже даты загрузки вредоносных образов в Docker Hub. Хронологию событий, а также таблицу вредоносных образов можно увидеть ниже.

















Имя образа  Вид малвари

docker123321/tomcat


docker123321/mysql2


docker123321/mysql3


docker123321/mysql4


docker123321/mysql5


docker123321/mysql6

  Контейнеры запускали обратный шелл на Python.

docker123321/tomcat11

  Контейнеры запускали обратный шелл Bash.

docker123321/tomcat22

  Контейнер добавлял SSH-ключ атакующих.

docker123321/cron


docker123321/cronm


docker123321/cronnn


docker123321/mysql


docker123321/mysql0


docker123321/data


docker123321/t1


docker123321/t2

Контейнеры запускали встроенные майнеры криптовалюты.

docker123321/kk

Контейнеры запускали встроенные майнеры криптовалюты.

Специалисты Kromtech пишут, что в подавляющем большинстве случаев злоумышленники заражали серверы пользователей майнером криптовалюты Monero, основанным на XMRig. По данным исследователей, только одна вредоносная кампания принесла преступникам 544,74 Monero, что равняется примерно 90 000 долларов США по текущему курсу.


Хуже того, многие вредоносные образы несли в себе функциональность бэкдоров (благодаря обратным шеллам). И даже если жертва прекращала использование опасного образа, атакующие все равно могли получить устойчивый доступ к скомпрометированной системе и «вернуться» позже.


В итоге специалисты советуют всем, кто успел воспользоваться вредоносными образами, полностью стереть систему и поднять все необходимое с нуля. В противном случае никаких гарантий отсутствия бэкдоров никто дать не сможет.


«Для обычных пользователей загрузка образа Docker из Docker Hub — это все равно что загрузка произвольных бинарных данных непонятно откуда с их последующим выполнением, без какого-либо понимания, что там внутри, но с надеждой на лучшее», — резюмируют эксперты Kromtech.



Источник новостиgoogle.com

Из официального реестра Docker Hub были удалены сразу 17 образов контейнеров, содержавших бэкдоры. Через них на серверы пользователей проникали майнеры и обратные шеллы. Так как образы Docker перед публикацией в Docker Hub не проходят тестирование и серьезный аудит безопасности, вредоносные решения были размещены в реестре без особенного труда. Сообщается, что образы были активны с мая 20017 года по май 2018 года, после чего все же были замечены ИБ-экспертами. Все 17 образов были загружены одним и тем же злоумышленником или группой лиц, скрывавшихся под псевдонимом docker123321. Один из образов был скачан и установлен более миллиона раз, а на счету других «всего лишь» сотни тысяч установок. Сообщения о странных проблемах в Docker и Kubernetes начали появляться еще осенью прошлого года. Пользователи жаловались на вредоносную активность на своих облачных серверах. К примеру, такие сообщения нетрудно обнаружить на GitHub или в Twitter. Об этих инцидентах писали независимые специалисты по информационной безопасности, а также компании Sysdig и Aqua Security. Однако всерьез происходящим заинтересовались только аналитики Fortinet и Kromtech, и именно специалистам этих компаний удалось «соединить все точки» и разобраться в случившемся. Эксперты Fortinet опубликовали свой отчет еще в середине мая 2018 года, вскоре после удаления 17 вредоносных образов с Docker Hub. Специалисты напрямую связывали проблему скрытого майнинга с образами Docker и аккаунтом docker123321. Аналитики Kromtech, в свою очередь, обнародовали свою версию отчета только на этой неделе, и их исследование детально описывает все произошедшие события, начиная с 2017 года. Экспертам удалось установить даже даты загрузки вредоносных образов в Docker Hub. Хронологию событий, а также таблицу вредоносных образов можно увидеть ниже. Имя образа Вид малвари docker123321/tomcat docker123321/mysql2 docker123321/mysql3 docker123321/mysql4 docker123321/mysql5 docker123321/mysql6 Контейнеры запускали обратный шелл на Python. docker123321/tomcat11 Контейнеры запускали обратный шелл Bash. docker123321/tomcat22 Контейнер добавлял SSH-ключ атакующих. docker123321/cron docker123321/cronm docker123321/cronnn docker123321/mysql docker123321/mysql0 docker123321/data docker123321/t1 docker123321/t2 Контейнеры запускали встроенные майнеры криптовалюты. docker123321/kk Контейнеры запускали встроенные майнеры криптовалюты. Специалисты Kromtech пишут, что в подавляющем большинстве случаев злоумышленники заражали серверы пользователей майнером криптовалюты Monero, основанным на XMRig. По данным исследователей, только одна вредоносная кампания принесла преступникам 544,74 Monero, что равняется примерно 90 000 долларов США по текущему курсу. Хуже того, многие вредоносные образы несли в себе функциональность бэкдоров (благодаря обратным шеллам). И даже если жертва прекращала использование опасного образа, атакующие все равно могли получить устойчивый доступ к скомпрометированной системе и «вернуться» позже. В итоге специалисты советуют всем, кто успел воспользоваться вредоносными образами, полностью стереть систему и поднять все необходимое с нуля. В противном случае никаких гарантий отсутствия бэкдоров никто дать не сможет. «Для обычных пользователей загрузка образа Docker из Docker Hub — это все равно что загрузка произвольных бинарных данных непонятно откуда с их последующим выполнением, без какого-либо понимания, что там внутри, но с надеждой на лучшее», — резюмируют эксперты Kromtech. Источник новости - google.com

Смотрите также

А что там на главной? )))



Комментарии )))