Aqua CNDR助您瓦解 DreamBus 僵尸网络攻击( 二 ) _网络攻击

文章插图

CNDR的审计日志记录了约7000个事件，完整地重现了攻击时的情形。记录中包括检测可疑和恶意行为，以及阻断网络通信等，例如：

监测到Wget/Curl 程序
监测到加密挖矿
通过/tmp执行二进制
禁用安全工具
复制远程文件

我们在审计日志中发现了Kinsing恶意软件(MD5 648effa354b3cbaad87b45f48d59c616)和kdevtmpfsi (MD5 8c6681daba966addd295ad89bf5146af)。有人将它们从远程源中下载到了/tmp 库。如下面的截图所示，它们的所有者都是“postgres”群组中的用户“postgres” 。

文章插图

审计日志进一步显示了代码执行情况，如下：

文章插图

此外，容器中还发现了几个恶意文件：

k (MD5 d79229c6c7fcbc4802934e34f80661a8), 打包挖矿病毒
c (MD5 080a3bccdddc6979e3f1e74f732603b0), 打包挖矿病毒
ss (MD5 a0db00b585a994be2cff9bb4a62ca385), 尽管 VirusTotal未检测到，仍是挖矿病毒

文章插图

获得初始访问权

尽管通过分析PostgreSQL日志可以知道为了获取初始访问权而出现的违规操作，但是这些日志连同其他日志一起都丢失了。删除系统日志正是Kingsing黑客的惯用伎俩之一。

通过CNDR的事件屏幕中的一个警报能够推断出，黑客通过删除系统日志破坏了系统的完整性。这就解释了日志文件丢失的原因。这也不禁让人怀疑，黑客是否转储了数据库的内容，并将其泄露到外部环境。

从Postgres 9.3版开始, 数据库的超级用户和‘pg_execute_server_program’群组中的用户就能利用‘COPY TO/FROM PROGRAM’功能运行任意的OS指令。该功能可能会在身份验证后被攻击，或在后台运行PostgreSQL时通过SQL注入攻击。值得注意的是，供应商却并不认为这个功能是一个漏洞。

重要经验：深度防御非常关键

从这次攻击中，我们可以看到深度防御战略发挥了明显的作用。在该环境中部署的，包括工作负载保护和安全扫描在内的保护初始层，都无法预防或监测到攻击的发生。

如果不是CNDR的告警提示，黑客就已经成功完成了攻击，神不知鬼不觉地挖矿加密货币，并可能造成更大的破坏。然而，CNDR实时监测到了攻击，不仅针对恶意活动发出了警报，还提供了额外的日志，以协助进一步调查。

类似的攻击表明，深度防御的方法是有价值的——它构建了多重的安全功能，部署了丰富的防御能力，可以瓦解多种攻击向量(attack vectors) 。如果一个安全管控失效了，还有其它的安全层可以预防或阻止攻击。

迁移推荐：Aqua的运行时深度防御战略
Aqua的运行时保护方法部署了一系列的安全机制，在您的云原生环境中建立了一层又一层的管控功能，以保护网络、工作负载和数据的保密性、完整性和可用性。

高级恶意软件和行为保护
Aqua高级防恶意软件保护功能能持续对环境进行扫描，根据数字签名和哈希算法监测已知威胁和恶意软件。在本次攻击中，Aqua的防恶意软件保护功能监测到了恶意脚本(.systemd-service.sh)、Kinsing恶意软件、Kdevtmpfsi加密货币挖矿代码和其它的恶意内容。

为了检测未知的威胁，Aqua基于行为的保护功能可以发现可疑和恶意的行为，包括无文件的恶意软件执行、防御规避技术、可疑的网络通信和木马。在本案例中，CNDR发现了若干个可疑的实例和恶意活动，包括删除日志和下载并执行二进制。

我们强烈推荐您使用工具来确保密码的高强度并与生产兼容。比如，Avishai Wool 和Liron David的项目可以预估密码长度，即通过预测密码破解软件需要尝试多少次才能破解密码，从而帮助用户避免选择那些保密性弱的密码。

调查期间，我们利用Aqua的解决方案扫描了我们的容器镜像：静态扫描软件和DTA 。本案例中被攻击的漏洞存在争议，因而被忽视了。为此，我们强烈建议在生产环境中部署CNDR等监测及响应解决方案，它们不仅能够在运行时发现恶意行为，还有助于监测并预防生产环境中出现零日攻击(Zero-day attacks) 。