クラウドストライク、ウクライナ側を支持するDoS攻撃において 侵害されたDockerハニーポットの使用を確認
クラウドネイティブのエンドポイント、クラウドワークロード、アイデンティティ、データ保護のリーダー、CrowdStrike(NASDAQ: CRWD)の日本法人であるクラウドストライク 株式会社(本社:東京都港区、以下クラウドストライク)は本日、ウクライナ側を支持するDoS攻撃に使用されている侵害されたDockerハニーポットに関する詳細情報をブログで紹介します。
Snort
以下のSnortルールを使用して、
- 破壊的ツールをデプロイする目的で、コンテナおよびクラウドベースのリソースが悪用されています。この侵害されたインフラストラクチャが使用されると、ロシア政府、ロシア軍、ロシアの民間人を標的とする敵対的な活動に意図せず参加している組織にも幅広い影響が及びます。
- ロシア、ベラルーシ、リトアニアのウェブサイトをサービス拒否(DoS)攻撃の標的とする2つの異なるDockerイメージを実行するために、Docker Engineのハニーポットが侵害されました。
- これら2つのDockerイメージの標的リストは、ウクライナ政府の支援を受けるウクライナIT軍(UIA)により共有されたとされるドメインと重複しています。
- この2つのイメージは150,000回以上ダウンロードされましたが、CrowdStrike Intelligenceは、このダウンロードのうちのいくつが侵害されたインフラストラクチャを起源としているか、評価できていません。
- CrowdStrikeの顧客は、CrowdStrike Falcon Cloud Workload Protectionモジュールでこの脅威から保護されます。
abagayev/stop-russiaと呼ばれる最初に観測されたDockerイメージは、Docker Hub上でホストされています。このイメージは100,000回以上ダウンロードされましたが、このダウンロードのうちのいくつが侵害されたインフラストラクチャを起源としているかは、CrowdStrike Intelligenceは評価できていません。このDockerイメージには、bombardierという名前のGoベースのHTTPベンチマークツールが含まれており、ウェブサイトのストレステストを実行するHTTPベースのリクエストを使用する次のSHA256ハッシュ、
6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453
を持ちます。この事例では、Dockerイメージをベースとする新しいコンテナが作成されたときに自動的に開始されるDoSツールとして、このツールが悪用されました。開始されると、標的選択ルーチンがハードコードされた標的リストからランダムなエントリを選択します。このDockerイメージの後発バージョンはそれとは異なり、標的リストの最初の24のエントリからいずれか1つを現在時刻に基づき選択します。
図1.標的にされたウェブサイトの抜粋
erikmnkl/stoppropagandaという名前が付けられています。このイメージは、Docker Hubから50,000回以上ダウンロードされています。こちらの場合でも、ダウンロードのうちのいくつが侵害されたマシンを起源としているかは不明です。このイメージには、stoppropagandaという名前のカスタムのGoベースのDoSプログラムが含まれており、HTTP GETリクエストを標的ウェブサイトのリストに送信してウェブサイトをリクエストでオーバーロードさせる以下のSHA256ハッシュを持ちます。
3f954dd92c4d0bc682bd8f478eb04331f67cd750e8675fc8c417f962cc0fb31f
この攻撃も、ロシアとベラルーシの同様の部門のウェブサイト(政府、軍事、エネルギー、鉱業、小売、メディア、金融)を標的としており、3つのリトアニアのメディアウェブサイトも攻撃の被害を受けました。
図2.標的にされたウェブサイトの抜粋
erikmnkl/stoppropagandaイメージによる悪意あるDoSプロセスは、Falconのクラウドベースの機械学習モデルにより、Falcon Sensor for Linuxがインストールされたホスト上でDockerコンテナが実行されるタイミングで停止させられています。
図3.今回の悪意あるプロセスを停止させる、CrowdStrikeのクラウドベースの機械学習モデル
Snort
以下のSnortルールを使用して、erikmnkl/stoppropagandaから送信されるHTTPリクエストを検出できます。
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Detects DoS HTTP request sent by erikmnkl/stoppropaganda tool"; flow:to_server, established; content:"Mozilla/5.0 (Windows NT 10.0|3B| Win64|3B| x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.102 Safari/537.36"; http_header; content:"GET"; http_method; classtype:trojan-activity; metadata:service http; sid:8001951; rev:20220420;)
※この資料は、米国時間2022年5月4日に発表されたCrowdStrikeのブログの抄訳です。
CrowdStrikeについて
CrowdStrike Holdings Inc.(Nasdaq:CRWD)は、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、データを含む企業におけるリスクを考える上で重要な領域を保護する世界最先端のクラウドネイティブのプラットフォームにより、現代のセキュリティを再定義しています。
CrowdStrike Falcon®プラットフォームは、CrowdStrike Security CloudとワールドクラスのAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリーを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。
Falconプラットフォームは、軽量なシングルエージェント・アーキテクチャを備え、クラウド上に構築されており、迅速かつスケーラブルな展開、優れた保護とパフォーマンス、複雑さの低減、短期間での価値提供を実現します。
CrowdStrike: We Stop Breaches
詳細はこちら: https://www.crowdstrike.jp/
ソーシャルメディア: Blog | Twitter | LinkedIn | Facebook | Instagram
無料トライアル: https://www.crowdstrike.jp/try-falcon-prevent/
© 2022 CrowdStrike, Inc. All rights reserved. CrowdStrike、Falconのロゴ、CrowdStrike Falcon、CrowdStrike Threat Graphは、CrowdStrike, Inc.が所有するマークであり、米国および各国の特許商標局に登録されています。CrowdStrikeは、その他の商標とサービスマークを所有し、第三者の製品やサービスを識別する目的で各社のブランド名を使用する場合があります。
