• ГлавнаяНовостиНовостиНовости, 202106Новости, 202106 → Защищаем контейнеры от криптоджекинга

      Защищаем контейнеры от криптоджекинга

      Том Хендерсон Скрытое проведение вычислений для получения криптовалюты

      КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}.content img{float:right;}.hidden_block{display:none;}

Технологии контейнеров Linux используются все чаще, и одновременно нарастают проблемы безопасности, связанные с контейнерами. С помощью скрытых вычислений криптовалюты злоумышленники пытаются получать информацию об уязвимости контейнера для извлечения прибыли. Давайте посмотрим, что нужно сделать, чтобы обнаружить, остановить и предотвратить такие атаки.

Криптовалютные прибыли формируются путем потребления ресурсов для создания хешей. Накопленные хеши - это выполненная работа, а работа представляет значение в блокчейне. В удачный день оно преобразуется в значение, представляющее реальную валюту. В зависимости от валюты и от того, как она формируется, почти все криптопрограммы требуют большого количества ресурсов процессора. Память и хранилище данных не имеют особого значения. Ресурсы процессора востребованы для любого экземпляра, так как он выполняет работу, за которой следует заработок. Минимум ресурсов процессора на экземпляр, но тысячи тысяч экземпляров обеспечивают накопление заработка. Никакие данные не извлекаются, секреты компании не распродаются, и поэтому о криптоджекинге мы слышим реже, чем о других атаках, поскольку происходит «откачивание» ресурсов без ущерба для конфиденциальности или данных.

Некоторые программы добычи цифровых валют могут регулироваться установщиком или автоматической программой-ботом, и в результате процесс не сигнализирует о нарушениях политики «Нагрузка на процессор!», а аналитик, в свою очередь, недоумевает, что происходит с экземплярами. Он наблюдает стабильный поток. Поведение потока - не произвольные перепады вверх-вниз; показатель, например, будет 45,255% от какого-то другого числа, представляющего стабильное состояние (то есть происходит статическое похищение ресурсов).

Контейнеры: числа не спасают

Программы скрытой добычи цифровых валют могут появляться в экземплярах, составленных из монолитных приложений или контейнеров. Программы добычи цифровых валют встречаются в маршрутизаторах, образах Docker, Drupal, WordPress и других.

Если существуют тысячи контейнеров или парк контейнеров динамичен по своей природе, их обнаружение затрудняется. В масштабируемом мире структуры расширяются, сжимаются и исчезают. В результате бывает трудно указать лимиты ресурсов, так как нет кумулятивного триггера для политики, отслеживаемой диспетчером панели управления. Непосредственно перед тем, как высокая нагрузка или нагрузка устойчивого состояния сможет послужить триггером для какого-то действия, экземпляры исчезают - точно так, как было задумано. Ни шума, ни пыли, но ограбление состоялось. Грабитель украл немного мелочи, но, когда появляются и исчезают сотни тысяч экземпляров, кумулятивный эффект значительный.

Откуда появляются эти экземпляры? Существует несколько направлений атак. Самый простой - из контейнеров, которые не проинспектированы и постоянно используются повторно. Многие компании тщательно проверяют контейнеры, применяя подчас очень строгие процедуры для проверки репозиториев в поисках зараженных контейнеров. Но возьмите сильно загруженную группу, которой приходится иметь дело с многочисленными изменениями и скомканным контролем качества - и повторится история Monero.

Другое направление атаки - неосторожно обращенные к общедоступной сети контейнеры, как выяснили исследователи, работающие с приманками. В экземплярах устанавливаемых продуктов медленно внедряется обязательное изолирование сетевых путей по умолчанию, хотя данные в современных пулах носителей менее открыты для всех желающих. Экземпляры Docker, открытые для общедоступной IP-сети, заражаются автоматическими программами поиска быстрее, чем за три дня. Мародеры жадны, а их автоматические программы эффективны, и на сегодня взломщики достаточно хорошо изучили Docker, чтобы расхищать контейнеры.

Еще один метод - внутренние диверсии для целенаправленной подмены контейнеров. Тысячи экземпляров могут составить неплохой пенсионный фонд. Коллега, проводившая длительное расследование, считает, что это произошло с одним из ее «облачных» приложений. Улики были уничтожены, но в резервных копиях сохранились зараженные контейнеры и сценарий Kubernetes, который разрешает исходящий трафик в любой адрес IPv6. Есть человек, которого она подозревает, но он больше не работает в компании. Внутренняя или внешняя атака, халатность или обман - результат один и тот же: потребление ресурсов компании в целях извлечения прибыли.

Как обнаруживаются зараженные экземпляры? Простые методы сводятся к отслеживанию высокого или постоянного статического использования процессора. Программные нагрузки на процессор обычно отличаются высокой динамичностью, но состояние гонки, замедляющее процессор, свидетельствует о проблемах, а стабильное потребление нормально для многих приложений, если принять во внимание, что они часто статичны, пока не потребуется выполнить какое-то действие. Использование процессора оптимизированными приложениями часто попеременно взлетает вверх и падает. Однако неизменно одинаковая нагрузка подозрительна.

В иных случаях имеются ограничения и на исходящий трафик, которые отслеживают или через политику останавливают трафик из внутренних серверов, направляемый куда-либо кроме «законных» внешних источников. Существуют также низконагрузочные решения мониторинга, которые являются частью более крупных платформ управления парком, таких как Aqua и Twistlock.

Отмечается взрывной рост программно-определяемых сетей (SDN) для парков контейнеров. Везде применяются собственные методики развертывания сетей, перехвата разнородных типов трафика и адресов портов назначения и прочие методы определения трафика скрытого вычисления цифровых валют.

Также можно использовать приложения конструирования контейнеров, такие как Envoy с привлечением пакетов Zipkin или Jaeger. Envoy - инфраструктура контейнеров компании Sidecar Communications, которая используется для построения сеток приложений (с обнаружением сетевых служб), а Zipkin обеспечивает элементарный мониторинг исполнения. Zipkin очень удобен для определения временных характеристик транзакций, которые постоянно нарушаются добытчиками валют. С помощью подключаемых модулей Jaeger можно развернуть несколько различных типов образцов экземпляров, чтобы убедиться, что они укладываются в рамки желаемой политики. На более низком уровне Puppet, Chef и другие приложения могут опрашивать экземпляры в поисках известных приложений скрытого вычисления цифровых валют и других свидетельств подозрительных изменений файлов. Эти методы схожи с применяемыми в программах Aqua и Twistlock.

Фильтрация трафика не мешает программе скрытого вычисления цифровых валют украсть ресурсы процессора, но не позволяет извлечь из этого пользу. Данный подход устраняет симптомы, не затрагивая причины болезни. Важно внедрить политики на основе ролей для рабочих групп и проверять каждый образ контейнера с помощью анализатора контейнеров.

Лучший способ лишить добытчиков валют их доходов - отслеживать некорректное поведение в сети. Существуют возможности использования промежуточных серверов, которые предотвратят отправку трафика на известные сайты добычи валют, как в черную дыру. Такие списки очень непостоянны и подвержены произвольным изменениям. Исчерпывающего списка источников обналичивания криптовалют не существует. Перехват произвольных исходящих переговоров - отличный способ поддерживать безопасность в целом, но поиск виновника отнимает порой слишком много времени.


Поделитесь материалом с коллегами и друзьями

Теперь расходы на сертификацию кабельных систем станут меньше на 65%! Безопасность цифровой личности в государственных системах: резервирование и восстановление данных 19 апреля 6 критически важных причин необходимости резервного копирования Office 19 апреля

«Открытые системы» - ведущее российское издательство, выпускающее широкий спектр изданий для профессионалов и активных пользователей в сфере ИТ, цифровых устройств, телекоммуникаций, медицины и полиграфии, журналы для детей.

© «Открытые системы», 1992-2021.
Все права защищены.

Издания

Конференции

© «Открытые системы», 1992-2021.

Средство массовой информации www.osp.ru Учредитель: ООО «Издательство «Открытые системы» Главный редактор: Христов П.В. Адрес электронной почты редакции: info@osp.ru
Телефон редакции: (4) 703-18-54 Возрастная маркировка: + Свидетельство о регистрации СМИ сетевого издания Эл.№ ФС77-62008 от 05 июня 2015 г. выдано Роскомнадзором.

TikTok запустил формат нативной рекламы Spark Ads для брендов

TikTok запускает новый рекламный формат - Spark Ads, c помощью которого бренды смогут продвигать ролики из своих аккаунтов TikTok в ленте рекомендаций пользователей, а также продвигать ролики креаторов, принявших участие в рекламной кампании бренда. ...

«Китайскому Uber» грозит крупный штраф

Власти Китая намерены «беспрецедентно» наказать Didi. В отношении сервиса такси начато расследование, в офисах компании прошли обыски....

«Юmoney» запустил сервис для самозанятных «Юself»

«Юmoney» запустил «Юself». Под этим брендом собраны все сервисы, которые могут понадобиться самозанятому. В личном кабинете «Юself» можно встать на учет в налоговой и сняться с него, создавать чеки, оплачивать налоги. Сюда же поступают уведомления и ...

Квартальная выручка Twitter выросла на 74%

Самый значительный прирост за последние семь лет достигнут в сравнении с тем же периодом прошлого года, когда в разгар эпидемии рекламодатели резко сократили свои расходы....

Eset: 150 тысяч пользователей Android заразились опасным вирусом через сервисы сокращения ссылок

Международный разработчик антивирусного ПО Eset провел исследование безопасности служб по сокращению URL. Сами сервисы в большинстве своем безопасны для пользователей, но реклама в них оказалась источником вредоносных программ....

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики | Каталог | Новости | Контакты |
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent{display:block;line-height:25px;border-radius:5px 10px 0 0;border:1px solid #542437;width:90%;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:10px;}.hidden, label + .cd-accordion-menu, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202106Новости, 202106 → Защищаем контейнеры от криптоджекинга