Cetus: Dockerデーモンを標的にするクリプトジャックワーム

This post is also available in: English (英語)

概要

セキュリティ専門家はコンテナ技術黎明期からセキュアでないDockerデーモンを大きな脅威と捉えてきました。パロアルトネットワークス脅威インテリジェンス調査チーム Unit 42でもこれまでに、こうしたコンテナの脅威について「Docker Engineのコンテナで拡散する初めてのクリプトジャック（仮想通貨採掘）ワーム」、「セキュアでないDockerデーモンへの攻撃者の戦術とテクニックが明らかに 地理的分布で日本は全体の3.7%」という2本の記事を公開しています。これにつづいて筆者たちはDockerデーモンのハニーポットを設置した調査を行いました。その目的は、「インターネット上に公開されている平均的Dockerデーモンをとりまく状況がどのようなものか」、「COVID-19に起因するクラウドへの移行が果たして標的型クラウド攻撃の質や量の向上につながったのかどうか」を確認することにありました。

本稿では筆者らが仕掛けたDockerデーモンのハニーポットで発見された「Cetus」というMoneroマイニング用の改良型Dockerクリプトジャックワームについて解説していきます。

パロアルトネットワークスのPrisma Cloudをご利用のお客様は、Prisma Cloud Computeのホストコンプライアンス保護機能を通じて不備のあるDockerデーモン構成の警告・解決策を受け取ることでこの脅威から保護されています。

ハニーポット

本調査の実施にあたり、筆者は分離された制限付きDockerデーモンを設置し、5月のまる一ヶ月のトラフィックをすべてログに記録しました。その間、ボットネットからワームまであらゆるものを配信するさまざまな攻撃を目撃しました。それらの大部分がMonero用クリプトジャッキングを目的としたものでしたが、なかでもとりわけ頻繁に見られた攻撃の1つが筆者らの注意を引きました。そこにはワームを思わせるパターンがあったからです。このワームの場合、他の攻撃とは違って、ハニーポットがセキュアでないさまざまなDockerデーモンインスタンスから攻撃を受けていました。これまでのハニーポット設置時の経験やコンテナセキュリティ関連の研究プロジェクト類に照らしても、セキュアでないDockerデーモンを標的としたワームを目にするのはさほど一般的とはいえません。そこで筆者はこのペイロードを分析し、結果的にこれが新種のDockerワームであるものと判断しました。このマルウェアの各インスタンスはローカルネットワーク内外のDockerデーモンインスタンスを検出して感染しようとします。

Cetusの仕組み

ギリシャ神話にクジラに似たある生き物についての物語があります。この生き物は一見無害そうでいて実はどこへ出没しても大混乱を引き起こす海の怪物です。この生き物の名前をCetus（ケートス）といいます。

今回見つかったマルウェアは、クジラのロゴを使うDockerデーモンを狙っていて、一見なんでもないような正当なバイナリに偽装しようとしています。ここから筆者はこのマルウェアをCetusと名付けることにしました。

CetusはPortainerと呼ばれるDocker環境でよく利用される正当なバイナリを模倣することでその正体を偽装します。Portainerはユーザーインターフェイス（UI）管理ツールで、これを使うと複数のDocker環境を効率よく管理することができます。新しいマシンを引き継ぐさい、Cetusはそのマシンに自分自身をコピーしてXMRigクリプトマイナーのペイロードをデプロイします。Cetusは、このときクリプトマイナーをdocker-cacheというべつの正当そうな名前のバイナリに偽装しますが、こちらはPortainerとちがって実際の正当なバイナリ名ではありません。

感染の仕組みは単純かつ巧妙です。CetusはMasscanを使ってサブネット内にDockerデーモンがないかランダムにスキャンします。Dockerデーモンが見つかると当該デーモンのREST APIにリクエストを送って感染を広げようとします。Cetusはご丁寧にもこれらのリクエストをDockerのコマンドラインインタフェース（CLI）ツールを使ってこしらえています。このときのCetusの攻撃フローを図1に示します。Cetusが実行するコマンドは具体的に次のとおりです。

• デーモンがエクスプロイト可能でまだ感染していないことを確認します。

• Docker Hubからubuntu:18.04の新しいコンテナを実行します。

• パッケージマネージャリストを更新します。

• MasscanとDockerをパッケージマネージャ経由でインストールします。

• 悪意のあるportainerとdocker-cacheバイナリをコンテナにコピーします。

• Cetusを/root/.bash_aliasesに追加します。これでコンテナが再起動するかrootがbashセッションを開始するつどCetusが実行されるようになります。

• コンテナを再起動してCetusを実行します。

Cetusのリバースエンジニアリング

Cetusのリバースエンジニアリングは手っ取り早く簡単にできます。デバッグ対策や難読化などの手法は使用されておらず、シンボルまで含まれています。

ただしクリプトマイナー側はそうはいきません。XMRigマイナーはクリプトジャック攻撃に最もよく使用されるクリプトマイナーの1つなので、セキュリティ対策ツールにはウイルスとして扱われます。したがって、セキュリティ対策ツールを出し抜いて攻撃を行うためにXMRigマイナーは高度に難読化されており、リバースエンジニアリング処理も難しくなっています。

さらにこの2月にリリースされたXMRig 5.5.3を使用している点から、本マルウェアが新しいものであると結論付けることができます。 Cetusのアーキテクチャは単純で、miner_start、scan_startという2つの関数が含まれています。

miner_start関数の機能は明快です。/var/log/stmp.logを開き、Cetusのアクションをログに記録し、XMRigクリプトマイナーを実行し、マシンのCPUを使ってMoneroをマイニングします。scan_start関数はそれよりずっと興味深く、コアとなるマルウェアの機能を実行しています。ランダムな16ビットサブネットを選び、Masscanを実行してサブネット内をスキャンし、ポート2375でリッスンしているDockerデーモンを探します。デーモンが見つかるとダウンロード済みDocker CLIツールで感染プロセスを開始します。このマルウェアが興味深いのは、Dockerデーモンに感染するたびにコンテナを別の名前で呼び出す点です。本マルウェアは8つずつ名前が記されたリストを2つ持っており、各リストから1つずつ名前をランダムに名前をピックアップして、その2つの名前をつなげて使っています。

次にCetusはこの名前を引数としてマイナーを実行します。マイナーは自分自身をこの名前で識別してマイニングプールに参加し、マイニング関連のアクター情報を送信します。これによって攻撃者は各マイナーを分類し、マイニングプールAPI経由でマイナーや攻撃キャンペーンの統計情報を生成することができます。こうした統計やログの仕組みをもたせている点から、本マルウェアのオペレーターはすべてを注意深く監視したがっているものと結論づけることができます。

結論

コンテナを標的とするマルウェアはその秘めた可能性への理解が攻撃者間で進むにつれ複雑化しています。本稿はGraboidに引き続きUnit 42で文書化された2本目のDocker用クリプトジャックワーム解説記事です。

なお筆者らは、Cetusを別のクリプトジャックワームとリンクすることにも成功しました。こちらのクリプトジャックワームはAWSとDockerデーモンを攻撃するもので、Cetusと同じMoneroウォレットアドレスを使用していました。

クラウドに対する攻撃はますます巧妙化してきているというのが今回の調査での筆者らの結論です。

なお、パロアルトネットワークスのPrisma Cloudをご利用のお客様は、Prisma Cloud Computeのホストコンプライアンス保護機能を通じて不備のあるDockerデーモン構成の警告・解決策を受け取ることでこの脅威から保護されています。

IoC

ファイル

表 1 マルウェアのハッシュ値

マイニングに関する情報

マイニング プール

pool.minexmr.com:443

支払い先アドレス

85X7JcgPpwQdZXaK2TKJb8baQAXc3zBsnW7JuY7MLi9VYSamf4bFwa7SEAK9Hgp2P53npV19w1zuaK5bft5m2NN71CmNLoh

コンテナ名

1. 1. baleful_gormmet
   2. baleful_obelus
   3. baleful_agelast
   4. baleful_amatorculist
   5. baleful_peristeronic
   6. baleful_hirquiticke
   7. baleful_oxter
   8. baleful_quire
   9. boorish_gormmet
   10. boorish_obelus
   11. boorish_agelast
   12. boorish_amatorculist
   13. boorish_peristeronic
   14. boorish_hirquiticke
   15. boorish_oxter
   16. boorish_quire
   17. adroit_gormmet
   18. adroit_obelus
   19. adroit_agelast
   20. adroit_amatorculist
   21. adroit_peristeronic
   22. adroit_hirquiticke
   23. adroit_oxter
   24. adroit_quire
   25. fecund_gormmet
   26. fecund_obelus
   27. fecund_agelast
   28. fecund_amatorculist
   29. fecund_peristeronic
   30. fecund_hirquiticke
   31. fecund_oxter
   32. fecund_quire
   33. limpid_gormmet
   34. limpid_obelus
   35. limpid_agelast
   36. limpid_amatorculist
   37. limpid_peristeronic
   38. limpid_hirquiticke
   39. limpid_oxter
   40. limpid_quire
   41. risible_gormmet
   42. risible_obelus
   43. risible_agelast
   44. risible_amatorculist
   45. risible_peristeronic
   46. risible_hirquiticke
   47. risible_oxter
   48. risible_quire
   49. verdant_gormmet
   50. verdant_obelus
   51. verdant_agelast
   52. verdant_amatorculist
   53. verdant_peristeronic
   54. verdant_hirquiticke
   55. verdant_oxter
   56. verdant_quire
   57. zealous_gormmet
   58. zealous_obelus
   59. zealous_agelast
   60. zealous_amatorculist
   61. zealous_peristeronic
   62. zealous_hirquiticke
   63. zealous_oxter
   64. zealous_quire