LemonDuck zielt auf Docker

Der jüngste Boom der Kryptowährungen hat die Kryptopreise in den letzten Jahren in die Höhe getrieben. Infolgedessen haben die Kryptomining-Aktivitäten erheblich zugenommen, da die Angreifer auf eine sofortige finanzielle Entschädigung aus sind. Laut dem Google Threat Horizon-Bericht, der am 29. November 2021 veröffentlicht wurde, wurden 86 % der kompromittierten Google Cloud-Instanzen für das Mining von Kryptowährungen verwendet.

Das CrowdStrike Cloud Threat Research-Team entdeckte LemonDuck, das auf Docker abzielt, um Kryptowährungen auf der Linux-Plattform zu schürfen. Diese Kampagne ist derzeit noch aktiv.

LemonDuck ist ein bekanntes Kryptomining-Botnet, das Microsoft Exchange-Server über ProxyLogon und die Verwendung von EternalBlue, BlueKeep usw. angreift, um Kryptowährung zu schürfen, Privilegien zu erweitern und sich seitlich in kompromittierten Netzwerken zu bewegen. Dieses Botnet versucht, seine Bemühungen durch verschiedene gleichzeitige aktive Kampagnen zum Mining von Kryptowährungen wie Monero zu finanzieren.

Was ist die offengelegte Docker-API?

Docker ist die Plattform zum Erstellen, Ausführen und Verwalten von containerisierten Arbeitslasten. Docker bietet eine Reihe von APIs, um Entwicklern bei der Automatisierung zu helfen, und diese APIs können über lokale Linux-Sockets oder Daemons verfügbar gemacht werden (der Standardport ist 2375).

Da Docker in erster Linie für die Ausführung von Container-Workloads in der Cloud verwendet wird, kann eine falsch konfigurierte Cloud-Instanz eine Docker-API für das Internet freigeben. Dann kann ein Angreifer diese API ausnutzen, um einen Kryptowährungs-Miner in einem vom Angreifer kontrollierten Container auszuführen. Darüber hinaus kann ein Angreifer aus einem laufenden Container entkommen, indem er Privilegien und Fehlkonfigurationen missbraucht, aber auch indem er mehrere Schwachstellen ausnutzt, die in der Container-Laufzeitumgebung wie Docker, Containerd und CRI-O gefunden wurden.

Cr8escape ist ein Beispiel für eine solche von CrowdStrike entdeckte Schwachstelle in der Container-Laufzeitumgebung CRI-O.

Anfängliche Kompromittierung über Docker

LemonDuck zielt auf exponierte Docker-APIs ab, um einen ersten Zugang zu erhalten. Es führt einen bösartigen Container auf einer exponierten Docker-API aus, indem es einen benutzerdefinierten Docker-ENTRYPOINT verwendet, um eine „core.png“-Bilddatei herunterzuladen, die als Bash-Skript getarnt ist.

Die Datei „core.png“ wurde von der Domain t.m7n0y[.]com heruntergeladen, die mit LemonDuck verbunden ist. Bei der weiteren Analyse dieser Domain stellte CrowdStrike fest, dass über diese Domain mehrere Kampagnen betrieben wurden, die gleichzeitig auf Windows- und Linux-Plattformen abzielten.

Die eindeutigen Zertifikatssignaturen führen die Ermittler zu anderen Domänen, die von diesem Akteur aktiv genutzt werden, um möglicherweise andere Befehls- und Kontrollsysteme (C2) zu identifizieren, die in dieser Kampagne eingesetzt werden. Dabei wurden bei der Untersuchung einige Domänen gefunden, die derzeit das gleiche Zertifikat verwenden. Zum Zeitpunkt der Erstellung dieses Berichts konnten wir jedoch keine „core.png“-Datei finden, die von anderen verwandten Domänen verbreitet wurde. Es deuten die von CrowdStrike gesammelten historischen Daten darauf hin, dass die Datei „core.png“ in der Vergangenheit über mehrere von diesem Akteur verwendete Domänen verbreitet wurde.

Angreifer führen in der Regel eine einzelne Kampagne von einem einzigen C2-Server aus, aber interessanterweise laufen auf mehreren C2-Servern, die von LemonDuck verwendet werden, mehrere Kampagnen, die sowohl auf Windows als auch auf die Linux-Plattform abzielen. Abbildung 5 zeigt verschiedene Dropper-Dateien, die in mehreren Kampagnen verwendet werden.

Getarnte Skripte zum Einrichten eines Miners

Dabei fungiert die Datei „core.png“ als Dreh- und Angelpunkt, indem sie einen Linux-Cronjob innerhalb des Containers startet. Anschließend lädt dieser Cronjob eine weitere getarnte Datei „a.asp“ herunter, bei der es sich in Wirklichkeit um eine Bash-Datei handelt.

Die bekannten IOC-Dateipfade konkurrierender Kryptomining-Gruppen werden gelöscht, um bestehende Operationen zu stören.

Löscht bekannte Netzwerkverbindungen. Verbindungen, die ESTABLISHED oder im Gange sind (SYN_SENT), zu bekannten C2 von konkurrierenden Cryptomining-Gruppen werden beendet.

Deaktiviert Alibaba Cloud Defense

Der Überwachungsdienst von Alibaba Cloud überwacht Cloud-Instanzen auf bösartige Aktivitäten, sobald der Agent auf einem Host oder Container installiert ist. Die „a.asp“-Datei von LemonDuck hat die Fähigkeit, den Alibaba-Dienst zu deaktivieren, um die Erkennung durch den Cloud-Anbieter zu umgehen,

Cryptominer-Start und Verwendung von Proxy-Pools

In einem letzten Schritt lädt die „a.asp“-Datei von LemonDuck XMRig herunter und führt es als „xr“-Datei aus, die die Kryptowährung schürft. Es zeigt außerdem die Version von XMRig, die für das Mining verwendet wird (Version 6.14.0, veröffentlicht im August 2021). Die von XMRig verwendete Konfigurationsdatei weist auf die Verwendung eines Kryptomining-Proxy-Pools hin. Proxy-Pools helfen dabei, die tatsächliche Adresse der Krypto-Brieftasche zu verbergen, in die die Beiträge der aktuellen Mining-Aktivität fließen.

Seitliche Verschiebung über SSH

Anstatt massenhaft die öffentlichen IP-Bereiche nach ausnutzbaren Angriffsflächen zu scannen, versucht LemonDuck, sich seitlich zu bewegen, indem er im Dateisystem nach SSH-Schlüsseln sucht. Dies ist einer der Gründe, warum diese Kampagne nicht so offensichtlich war wie andere Mining-Kampagnen anderer Gruppen. Sobald SSH-Schlüssel gefunden wurden, verwendet der Angreifer diese, um sich bei den Servern anzumelden und die bösartigen Skripte auszuführen.

CrowdStrike-Erkennung

Die CrowdStrike Falcon-Plattform schützt Kunden mit ihrem Laufzeitschutz und ihren maschinellen Cloud-Lernmodellen vor jeglichen Post-Exploitation-Aktivitäten.

Schlussfolgerung

Aufgrund des Kryptowährungsbooms in den letzten Jahren in Verbindung mit der Einführung von Cloud- und Containerlösungen in Unternehmen hat sich Kryptomining als eine finanziell attraktive Option für Angreifer erwiesen. Da Cloud- und Container-Ökosysteme in hohem Maße Linux nutzen, erregte dies die Aufmerksamkeit der Betreiber von Botnetzen wie LemonDuck, die damit begannen, Docker für Kryptomining auf der Linux-Plattform ins Visier zu nehmen.

Wie in diesem Angriff zu sehen ist, nutzte LemonDuck einen Teil seiner umfangreichen C2-Operationen, um zusätzlich zu seinen Windows-Kampagnen auch Linux und Docker ins Visier zu nehmen. LemonDuck nutzte Techniken zur Umgehung von Verteidigungsmaßnahmen, indem er nicht nur getarnte Dateien verwendete und den Überwachungs-Daemon abschaltete, sondern auch den Überwachungsdienst von Alibaba Cloud deaktivierte.

CrowdStrike geht davon aus, dass diese Art von Kampagnen großer Botnet-Betreiber mit der zunehmenden Verbreitung der Cloud zunehmen wird. Die Absicherung von Containern muss aber keine übermäßig komplexe Aufgabe sein.