CrowdStrike ได้ค้นพบการโจมตีครั้งใหม่ ที่ชื่อว่า Kiss-a-dog
ทาง CrowdStrike ได้ค้นพบการโจมตีครั้งใหม่ ที่ชื่อว่า Kiss-a-dog โดยผู้ไม่ประสงค์ดีได้กำหนด
เป้าการโจมตีไปยัง Docker และ Kubernetes ที่มีช่องโหว่ เพื่อติดตั้งเครื่องขุดสกุลเงินดิจิตอล
Cryptojacking คืออะไร?
Cryptojacking เป็นการโจมตีประเภทหนึ่งที่ผู้ไม่ประสงค์ดีใช้คอมพิวเตอร์ของผู้ใช้งาน
เพื่อขุดหาสกุลเงินดิจิทัลโดยไม่ได้รับอนุญาต สิ่งนี้สามารถเกิดขึ้นได้เมื่อผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์
ที่เป็นอันตราย ติดมัลแวร์ หรือคลิกโฆษณาที่เป็นอันตราย ซึ่งอาจทำให้คอมพิวเตอร์ของผู้ใช้งานทำงานช้าลง
นอกจากนี้ในบางกรณีอาจทำให้คอมพิวเตอร์ของผู้ใช้งานเกิดความเสียหายได้
ในเดือนกันยายน พ.ศ. 2565 ทาง CrowdStrike ได้ตรวจพบการโจมตีหลายเหตุการณ์ที่เกี่ยวข้องกับการโจมตีต่อคอนเทนเนอร์ที่มีช่องโหว่ ซึ่งนักวิจัยเปิดเผยว่า Docker API และคอนเทนเนอร์ของ Docker
ที่ถูกโจมตีนั้นเป็นจุดเริ่มต้นในการทริกเกอร์ Payload ที่เป็นคำสั่ง Python ซึ่งมีหน้าที่ในการดาวน์โหลด
Payload t.sh จากโดเมนชื่อ kissa-dogtop และนั่นเป็นเหตุผลที่การโจมตีดังกล่าวมีชื่อว่า Kiss-a-dog นอกจากนี้ยังสามารถติดตั้ง Payload แบบ Cron job เพิ่มได้อีกด้วย
การสแกนเครือข่ายทำได้โดยการเข้ารหัสไฟล์โค้ด C/C++ และฝังเป็นสตริง Base64 ลงในสคริปต์
เมื่อเป็น runtime ผู้ไม่ประสงค์ดีจะถอดรหัสสตริง Base64 เป็นเอกสาร .tar ที่มีรหัสสำหรับ rootkits Diamorphine และจะทำการคอมไพล์โดยใช้ GCC เพื่อสร้างไฟล์ “diamorphin.ko” ที่ถูกโหลดเป็นโมดูล
เคอร์เนลผ่านคำสั่ง insmod ผู้ไม่ประสงค์ดีใช้ rootkits Diamorphine และ libprocesshide
เพื่อซ่อน Process จากผู้ใช้งาน
ผู้ไม่ประสงค์ดีจะซ่อนที่อยู่ของกระเป๋าเงินดิจิตอลโดยใช้โดเมน “lovea-dogtop” และ
“toucha-dogtop” เป็นเซิร์ฟเวอร์และจะทำการปลอมไฟล์ XMRig เป็นไฟล์ต่าง ๆ อีกทั้งผู้ไม่ประสงค์ดี
จะติดตั้ง service เพื่อเรียกใช้ไบนารีเป็น “cmake.service”
วัตถุประสงค์ของการโจมตีครั้งนี้ คือ การขุดหาสกุลเงินดิจิตอล cryptocurrency และใช้ rootkit
ของเคอร์เนล เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย ด้วยเหตุนี้ ผู้ไม่ประสงค์ดีจึงอาศัย ซอฟต์แวร์ XMRig ในการขุด อีกวัตถุประสงค์หนึ่งที่อยู่เบื้องหลังการโจมตีครั้งนี้คือการกำหนดเป้าการโจมตี
ไปยัง Docker และ Redis ที่มีช่องโหว่ให้ได้มากที่สุด
ผู้ไม่ประสงค์จะดาวน์โหลดหรือคอมไพล์เครื่องสแกนเครือข่าย เช่น Masscan, pnscan และ zgrab
บนคอนเทนเนอร์ที่ถูกโจมตี ซึ่งเครื่องมือเหล่านี้จะสุ่มสแกน IP บนอินเทอร์เน็ต เพื่อตรวจหาอินสแตนซ์ของเซิร์ฟเวอร์ Docker และ Redis ที่มีช่องโหว่
คำแนะนำ
- หลีกเลี่ยงการโหลดไฟล์หรือคลิกโฆษณาจากเว็บไซต์ที่เป็นอันตรายหรือเว็บที่มีการ Redirect
ไปยังเว็บอื่น
- ทำการปิดการใช้งาน Port ที่ไม่จำเป็นเพื่อลดช่องทาง และความเสี่ยงที่อาจถูกการโจมตี
- ทำการ Block IP Address แปลก ๆ หรือที่ตรวจสอบแล้วว่ามีความอันตราย ทั้งขาใน และ ขานอก
ที่ Firewall เพื่อป้องกันการเชื่อมต่อเข้ามายังเครือข่ายภายในองค์กร - ติดตั้ง Endpoint และ Update Signature ก่อนทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์
- ลบโปรแกรมที่ไม่ได้รับอนุญาตให้ใช้งาน หรือ Plug-in อื่น ๆ ภายในเครื่องออก
- ลบโปรแกรมของ Process หรือ Service ที่มีการใช้งานทรัพยากรคอมพิวเตอร์สูงผิดปกติ
- อัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด
Ref : https://www.hackread.com/cryptojacking-kiss-a-dog-targeting-docker-kubernetes/