Recientes hallazgos de Trend Micro han revelado que los actores maliciosos están dirigiendo sus ataques hacia los servidores API remotos de Docker, específicamente para desplegar el minero de criptomonedas SRBMiner en instancias comprometidas. Este tipo de actividad representa una nueva táctica en el ámbito de la cibercriminalidad, utilizando técnicas sofisticadas para evadir soluciones de seguridad y ejecutar operaciones de minería de criptomonedas de manera ilícita.
Protocolo gRPC y Técnicas de Evasión
Los investigadores Abdelrahman Esmail y Sunil Bharti explicaron en un informe técnico que el ataque se lleva a cabo utilizando el protocolo gRPC sobre h2c, una variante de HTTP/2 que opera sin cifrado TLS. Este enfoque permite a los atacantes eludir las medidas de seguridad implementadas en los entornos Docker. El primer paso del ataque implica un proceso de detección para identificar hosts de API de Docker que estén orientados al público, así como la disponibilidad de actualizaciones del protocolo HTTP/2.
Una vez que el atacante confirma que puede acceder al servidor, envía una solicitud de actualización de conexión al protocolo h2c. Esto le permite enviar comandos gRPC que manipulan las funcionalidades de Docker, incluyendo la administración y funcionamiento de los contenedores.
Minería de Criptomonedas a través de Docker
Después de que el servidor procesa la solicitud de actualización de conexión, el atacante ejecuta una solicitud gRPC específica, denominada «/moby.buildkit.v1.Control/Solve». Esta solicitud se utiliza para crear un nuevo contenedor que luego se emplea para minar la criptomoneda XRP utilizando SRBMiner, el cual está alojado en GitHub. Este método no solo permite a los atacantes aprovechar los recursos de la infraestructura de la víctima, sino que también les proporciona una forma de generar ingresos mediante la minería de criptomonedas sin tener que invertir en hardware.
«El actor malicioso en este caso ha logrado eludir efectivamente varias capas de seguridad al aprovechar el protocolo gRPC sobre h2c, lo que les permite desplegar el minero de criptomonedas SRBMiner en el host Docker», afirmaron los investigadores.
Otros Malware en Servidores API de Docker
Además de la actividad relacionada con SRBMiner, Trend Micro ha observado que los atacantes también están explotando los servidores API de Docker expuestos para implementar el malware conocido como perfctl. Este malware se propaga mediante un proceso de sondeo de los servidores vulnerables, seguido de la creación de un contenedor Docker con la imagen «ubuntu
«. Una vez que el contenedor está activo, se ejecuta una carga útil codificada en Base64.
Este script de shell no solo verifica y termina instancias duplicadas de sí mismo, sino que también genera un script bash que incluye otra carga útil codificada. Esta carga útil se encarga de descargar un binario malicioso que se presenta como un archivo PHP, denominado «avatar.php», y que, al final, entrega una carga útil llamada httpd. Este tipo de ataque resalta la creciente sofisticación de las técnicas utilizadas por los ciberdelincuentes para comprometer los servidores y ejecutar código malicioso.
Mejores Prácticas para Proteger Servidores Docker
Dada la naturaleza de estos ataques, se recomienda a los administradores y usuarios que protejan sus servidores API remotos de Docker mediante la implementación de controles de acceso sólidos y mecanismos de autenticación robustos. Esto incluye el uso de contraseñas seguras, autenticación multifactor y el establecimiento de listas de control de acceso (ACL) para limitar quién puede acceder a las API de Docker.
Además, es crucial monitorear continuamente estos servidores en busca de actividades inusuales que podrían indicar un intento de explotación. La implementación de las mejores prácticas de seguridad de contenedores es esencial para salvaguardar la infraestructura crítica contra los ataques.
En fin, la explotación de los servidores API de Docker para minería de criptomonedas y la implementación de malware representa un desafío creciente en el ámbito de la ciberseguridad. Los administradores deben estar alerta y adoptar medidas proactivas para proteger sus sistemas. Mantenerse informado sobre las últimas tácticas utilizadas por los ciberdelincuentes y aplicar actualizaciones de seguridad de manera oportuna es fundamental para mitigar los riesgos asociados con estas amenazas.
Con el aumento de la actividad de los ciberdelincuentes, es esencial que las organizaciones fortalezcan su postura de seguridad y adopten un enfoque integral para proteger sus recursos digitales.
Fuente: The Hacker News