Miramos cómo los actores maliciosos explotan Apache Hadoop YARN, una parte del framework de Hadoop que es responsable por ejecutar tareas en el cluster. Este análisis cubre las cargas maliciosas básicas desplegadas, las tácticas usadas en los ataques y recomendaciones básicas para fortalecer la seguridad en la nube.
Las fallas de configuración y la exposición resultante de los servicios de la nube es uno de los riesgos más prevalentes en el panorama de amenazas para Linux. Previamente analizamos incidentes relacionados con este tema de seguridad, como una API de Docker expuesta y abusada por actores maliciosos e instancias Redis expuestas que los actores maliciosos activamente buscan.
Este blog se enfocará en otra pieza del rompecabezas: Apache Hadoop YARN, parte del framework Hadoop quién es responsable por ejecutar tareas en el cluster.
Debería notarse que la exposición de estos servicios en la nube no es porque son inherentemente inseguros, pero solamente por los temas de configuración. Sin embargo este es un riesgo alarmante de seguridad ya que permite la ejecución remota de código (RCE) en el cluster. Desafortunadamente, los actores maliciosos han estado activamente explotando estos servicios por años.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.16.31-300×102.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”102″]
Para examinar este riesgo, experimentamos con exponer dichos servicios in the wild. Entonces aprendimos que no tomaba mucho tiempo para que los actores maliciosos encontraron el servicio expuesto y desplegaran varias cargas maliciosas. en la siguiente sección, discutiremos cuáles son las familias de malware dirigirás hacia estos servicios YARN.
Cargas maliciosas desplegadas en los ataques: Kinsing y otros malwares de cryptojacking
Un malware de cryptojacking es una de las cargas maliciosas dominantes y más comunes para los ambientes de Linux, y no es sorpresa que se hayan desplegado también en el servicio YARN. En este caso, la carga maliciosa pertenece a una familia conocida de malware — Kinsing (detectada como Trojan.Linux.KINSING.AB y Trojan.SH.KINSING.G).
Al principio del ataque, los actores maliciosos mandan comandos al servicio expuesto a través de una solicitud HTTP POST. Como una respuesta no intencionada, el YARN crea un script de lanzamiento que incorpora los comandos de los atacantes.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.17.16-300×81.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”81″]
Una vez que se ejecuta el script del container Hadoop, descarga un script remoto que despliega el malware Kinsing.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.17.55-300×66.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”66″]
También se despliega un binario compilado con capacidad de difusión. este binario se comunica con el servidor remoto de comando y control (C&C), dándole un backdoor al sistema infectado así como desplegando el proceso conocido de cryptojacking de Kinsing llamado kdevtmpfsi.
Es importante notar que Kinsing no es el único malware de cryptojacking que existe. La minería de criptomonedas es un campo de batalla de recursos. Encontramos un malware competidor en Hadoop YARN. Este competidor entonces procede a erradicar Kinsing del sistema.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.18.37-300×37.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”37″]
¿Cuáles son las tácticas que se usan en estos ataques?
Los actores maliciosos que buscan explotar estas servicios mal configurados en la nube emplean varias tácticas comunes:
Primero, los cibercriminales deshabilitan las protecciones del sistema. Conforme las soluciones de seguridad para los servicios en la nube se vuelven más populares en las empresas, los actores maliciosos se adaptan al buscar e intentar desinstalar el software de protección. Esta funcionalidad es común en el malware de cryptojacking.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.19.22-300×148.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”148″]
Los actores maliciosos también recopilan credenciales. con el incremento en la variedad de plataformas que requieren autentificación para poder acceder a ellas, la necesidad de tokens de acceso y los llamados secrets – información sensible como credenciales para acceder a los sistemas – también crece. es común que las cueste trabajo a los usuarios mantenerlas todas presentes al almacenarlas en las máquinas donde las usan. Desafortunadamente, esto a menudo se hace sin protecciones adicionales. Los actores maliciosos están conscientes de esto, y aquellos que acceden exitosamente a los sistemas buscan activamente estas credenciales desprotegidas.
Y, por supuesto, no se Detienen con la recopilación: también usan estas credenciales para obtener acceso a otros sistemas – incluso aquellos que no están en la nube – para infectarlos. Hemos observado este comportamiento en una investigación previa sobre TeamTNT. con esto, se puede deducir que los actores maliciosos intentan infiltrar la mayor cantidad posible de sistemas para maximizar sus ganancias
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.19.59-300×93.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”93″]
Se debe enfatizar en que si la clave privada que el actor malicioso usó para acceder a otro sistema estaba protegida por el dueño con al menos una contraseña encriptado la clave, la infección del sistema objetivo no será exitosa. Esto destaca la importancia de utilizar estas precauciones de seguridad.
Finalmente, como compartimos en nuestra investigación previa sobre el panorama de amenazas de Linux, encontramos que es bastante común que las amenazas se propaguen de un dispositivo infectado a otro. Para hacer esto, los actores maliciosos están utilizando herramientas de escaneo de puertos como masscan para identificar servicios expuestos y vulnerables. Una vez que se identifican estos servicios, los actores maliciosos buscan desplegar su carga maliciosa.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.20.37-300×127.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
Otras variantes de malware y ambientes
La lista de payloads no estaría completa sin mencionar el botnet Mirai. Una amenaza que se ve comúnmente en ambientes del Internet de las Cosas (IoT), evolucionó para dirigirse hacia otras plataformas como containers infectados Hadoop YARN.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.21.50-295×300.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”295″ height=”300″]
Ya que el servicio Hadoop YARN también puede correr en Windows, las amenazas que se crearon para esta plataforma también pueden encontrarse en el cluster.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.22.37-300×48.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”48″]
Fortaleciendo la seguridad de los servicios en la nube
Los servicios en la nube se están convirtiendo en una parte vital de las empresas. La seguridad de la nube no debe de darse por sentado. Estas son algunas recomendaciones:
- Configure deliberadamente el servicio en la nube. Los usuarios pueden maximizar las capacidades nativas de seguridad que conceden estas plataformas.
- Utilice el principio del menor privilegio. Aquí, los usuarios solamente obtendrán el mínimo acceso requerido para sus tareas.
- Adhiérase al modelo de responsabilidad compartida. Los usuarios, y no solamente los proveedores de servicios en la nube, son responsables por la seguridad de estas plataformas.
- No almacene credenciales en texto plano; considera utilizar bóvedas de secrets que los almacenen de forma encriptada. Pueden también utilizarse para alterar secrets en un lugar y reflejar esa modificación en varias aplicaciones sin necesidad de cambiar el código.
Las soluciones de seguridad en la nube, como Trend Micro Cloud One™, ayudan a las empresas a proteger sus servicios en la nube. La plataforma incluye:
- Workload Security: protección en runtime para workloads
- Container Security: escaneo automatizado de imágenes y registros en containers
- File Storage Security: seguridad para servicios de almacenamiento de archivos y objetos en la nube
- Network Security: seguridad IPS la capa de la red en la nube
- Application Security: seguridad para funciones serverless, APIs, y aplicaciones
- Conformity: protección en tiempo real para la infraestructura de la nube — asegure, optimice, cumpla
Indicadores de Compromiso
Hashes
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.24.30-300×197.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”197″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.24.41-300×204.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”204″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.24.51-300×203.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”203″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.25.01-300×203.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”203″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.25.09-300×201.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”201″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.25.18-300×202.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”202″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.25.27-300×203.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”203″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.25.36-300×203.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”203″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.25.45-300×203.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”203″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.25.54-300×203.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”203″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.29.30-300×200.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”200″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.29.37-300×157.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”157″]
URL
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.30.34-300×169.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”169″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.30.42-300×210.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”210″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.30.50-300×208.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”208″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.30.58-300×207.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”207″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.31.06-300×196.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”196″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.31.14-300×159.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”159″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.31.22-300×197.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”197″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.31.31-300×161.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”161″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.31.38-300×198.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”198″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.31.46-300×202.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”202″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/09/Captura-de-Pantalla-2021-09-13-a-las-11.31.52-300×126.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”126″]
Leave a Reply