Weave Scope, Alat Monitoring Cloud yang Bisa Disalahgunakan untuk Serangan
Ilustrasi
Cyberthreat.id - Sebuah kelompok penjahat cyber yang dikenal sebagai TeamTNT sedang beraksi menargetkan lingkungan Cloud seperti Docker dan Kubernetes. Sebelumnya, kelompok ini dikenal menggunakan beberapa alat (tools) seperti penambang kripto dan worm untuk mencuri kredensial Amazon Web Services (AWS).
Selain itu, TeamTNT juga ditemukan menggunakan gambar Docker berbahaya (malicious Docker image) yang dapat ditemukan di Docker Hub untuk menginfeksi server korbannya.
Dalam serangan baru-baru ini yang diamati oleh peneliti keamanan Intezer, TeamTNT menggunakan teknik baru menyalahgunakan Weave Scope, alat terpercaya yang memberi pengguna akses penuh ke lingkungan cloud mereka dan terintegrasi dengan Docker, Kubernetes, Sistem Operasi Cloud Terdistribusi (DC/OS), dan AWS Elastic Compute Cloud (ECS).
Para penjahat menginstal alat ini untuk memetakan lingkungan cloud korban dan bisa menjalankan perintah sistem tanpa menggunakan kode berbahaya di server.
"Sepanjang pengetahuan kami, ini adalah pertama kalinya penyerang menggunakan perangkat lunak pihak ketiga yang sah untuk menargetkan infrastruktur Cloud. Jika disalahgunakan, Weave Scope bisa memberi penyerang visibilitas dan kontrol penuh atas semua aset di lingkungan Cloud korban, yang pada dasarnya berfungsi sebagai pintu belakang (backdoor)," demikian keterangan Intezer di situsnya, Selasa (8 September 2020).
Kendali Penuh
Keunikan dari serangan terbaru TeamTNT adalah menyalahgunakan alat (tools) sumber terbuka (open source) Weave Scope untuk mendapatkan kendali penuh atas infrastruktur Cloud korban.
Weave Scope adalah alat yang dikembangkan Weave Works, sebuah perusahaan yang menawarkan alat otomatisasi untuk bekerja dengan aplikasi dalam container.
Weave Scope berbasis UI diakses dari web browser dimana pengguna bisa memantau container-container yang sedang berjalan. Apalagi ketika ada sebuah keanehan, itu bisa langsung dilihat dan ditelusuri penyebabnya.
Alat ini menyediakan pemantauan, visualisasi, dan kontrol atas Docker dan Kubernetes. Menggunakan dasbor yang dapat diakses dari browser, pengguna mendapatkan kontrol penuh atas infrastruktur, termasuk semua informasi dan metadata tentang wadah, proses, dan host.
Weave Scope adalah utilitas yang kuat, memberikan penyerang akses ke semua informasi tentang lingkungan server korban dengan kemampuan untuk mengontrolnya termasuk: aplikasi yang diinstal, koneksi antara beban kerja cloud, penggunaan memori dan CPU, dan daftar container yang ada dengan kemampuan untuk memulai, menghentikan, dan membuka shell interaktif di salah satu penampung ini.
Dengan menginstal alat yang sah seperti Weave Scope, penyerang menuai semua manfaat, seolah-olah mereka telah memasang backdoor di server, dengan upaya yang minimum dan tanpa perlu menggunakan malware.
Untuk menginstal Weave Scope di server, penyerang menggunakan port Docker API yang terbuka dan membuat kontainer istimewa baru dengan image Ubuntu yang bersih. Kontainer dikonfigurasi untuk memasang sistem file dari kontainer ke sistem file dari server korban, dengan demikian mendapatkan akses penyerang ke semua file di server. Perintah awal yang diberikan ke penampung adalah mengunduh dan menjalankan beberapa cryptominers.
Para penyerang ini kemudian mencoba untuk mendapatkan akses root ke server dengan menyiapkan pengguna dengan hak istimewa lokal bernama 'hilde' di server host dan menggunakannya untuk menyambung kembali melalui SSH.
Selanjutnya penyerang mengunduh dan menginstal Weave Scope. Seperti yang dijelaskan dalam panduan penginstalan di Weave Scope's git, hanya dibutuhkan beberapa perintah untuk menyelesaikan penginstalan alat.
Setelah dipasang, penyerang dapat terhubung ke dasbor Weave Scope melalui HTTP di port 4040 dan mendapatkan visibilitas dan kontrol penuh atas infrastruktur korban.
Dari dasbor, penyerang dapat melihat peta visual lingkungan cloud runtime Docker dan memberikan perintah shell tanpa perlu menerapkan komponen Backdoor yang berbahaya.
"Skenario ini sangat jarang dan sepanjang pengetahuan kami ini adalah pertama kalinya penyerang mengunduh perangkat lunak yang sah untuk digunakan sebagai alat admin di sistem operasi Linux." []
