Docker Hub; Docker konteynerlerinin oluşturulmasını, yönetilmesini ve paylaşılmasını sağlayan topluma açık bir platformdur. Paketlenmiş yazılım uygulamalarını paylaşmak amacıyla kurumlar ve bireyler tarafından sıklıkla kullanılan Docker Hub platformu, zararlı Docker imajları yaymak amacıyla saldırganlar tarafından da kullanılıyor.
Palo Alto Networks Unit 42 araştırmacıları, Monero madenciliği yapmak amacıyla oluşturulmuş 6 zararlı imaj içeren “azurenql” adlı bir Docker Hub hesabı keşfettiler. Araştırmacılar, bu hesabın 2019 yılından bu yana etkin olduğunu ve saldırganların Docker imajlarını yaymak için bu hesabı kullandıklarını belirttiler. Ayrıca araştırmacılar, Ekim 2019’dan bu yana belirtilen hesapta bulunan imajların 2 milyondan fazla kez çekildiğini ve bir cüzdan hesabının bu imajları kullanarak 36.000$’dan fazla kripto para ürettiğini belirttiler.
Saldırganlar, kripto para üretme işlemini başlatmak için bir Python script dosyası kullanıyorlar. “dao.py” olarak adlandırılan bu dosya, belirtilen imajlar içerisinde ENTRYPOINT olarak ayarlandığından dolayı, oluşturulan konteynerlerin çalıştırılmasıyla birlikte otomatik olarak başlıyor. Saldırganlar bu işlem sırasında ağ tespitini atlatmak amacıyla, Tor ve ProxyChains gibi araçlardan yararlanıyorlar.
Paketlenmiş yazılımların kullanışlı olması Docker konteynerlerin benimsenme oranını artırıyor. Dolayısıyla özel hazırlanmış paketlerin Docker destekleyen platformlara dağıtılması saldırganlar için kolay bir iş haline geliyor. Saldırılardan etkilenmemek için bilinmeyen depolardaki imajların kullanılmaması önerilmektedir.
Tem
03
2020
0