Инфицированный контейнер что это
Что такое вирус «инфицированный контейнер»?
«Инфицированный контейнер» находит Доктор Веб (Dr.Web CureIt!). Почему у вируса нет имени?
Это один вирус или группа? Чем опасен?
Этот вирус – разновидность троянца «без тела».
Он не располагается в теле компьютера в виде файла. Свою нелегальную работу вирус ведёт в оперативной памяти. «Любит записываться» в нескольких контейнерах, часто – в системном реестре Windows в виде нескольких записей с нечитаемыми символами (потому антивирус называет найденную часть его не именем, а «инфицированным контейнером»). В одном месте может быть шифрованное тело, в другом – скрипт для чтения и загрузки в оперативку.
Таким образом, занесённый вирус обнаруживается Доктором Вебом в нескольких (приблизительно в трёх-пяти) «контейнерах».
Другие антивирусы, возможно, способны дать название этому троянцу, а Dr. Web нет. Мой Advanced System Care Free его не видит совсем.
Доктор веб нашел угрозу (вирус или то что он считает вирусом) в архиве.
Что угроза помещена в архив он и имеет ввиду упоминая «контейнер». Что именно он там нашел можно узнать разархивировав контейнер (тогда уже он ругнется на конкретный файл и придумает ему тип угрозы). При нажатии удалить угрозу в таком случае удаляется весь архив.
Уничтожает данные шифруя их.Нули делает сплошные на жестком диске. Предлагает получить ключ к доступу за деньги но по факту там робот присылает абсолютный галяк. И ты еще рискуешь засветить свои платежные данные, потом и оттуда взломав могут списывать.
Если б было точно известно, то создателя задержали, а так, маскировка под китай вполне возможна.
Это не программный вирус. Это пост, за репост которого пользователи идут на фейковый сайт Аэрофлота за выигранными авиабилетыами. И оставляют личные данные, включая номера кредиток, пинкоды и ключи безопасности. И дополнительно оставляют личные данные на Фэйсбуке.
Wanna Cry эксплуатирует давно известную уязвимость ОС семейства Windows, для которой Microsoft достаточно давно выпустил патч. Компьютеры с этим патчем для данного вируса неуязвимы.
Программными средствами можно перепрограммировать привод оптических дисков, почти все устройства с подключением через USB, биос на материнской плате. Все вышеперечисленное, кроме материнской платы, можно сломать перепрограммирующим вирусом. С помощью манипуляций с биосом и настройкам жестких дисков можно вывести вывести из строя все остальные части компьютера, но лишь временно.
Второй способ- это подача высоких нагрузок на процессоры, жесткий диск и твердотельные накопители. Если вовремя не выявить проблему, вирус может довести прибор до физического устаревания. Легче всего испортить SSD. Память, процессор и видеокарту состарить сложнее, на это нужно побольше времени.
Глубокое заражение: 5 угроз, проникающих в железо
Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами. Но это уже давно не так
Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.
Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.
Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память
Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.
По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.
До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.
Rowhammer hardware exploit poses threat to DRAM memory in many laptops, PCs: https://t.co/z3Sr8L8SVy
Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.
Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.
Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.
Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
2 место: жесткие диски
Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.
Исследователи «Лаборатории Касперского» нашли вирус, который невозможно удалить с жесткого диска: http://t.co/CZV9J9FO46
Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.
The only solution to the Equation Group is destroying your hard drive http://t.co/pZhFXQzXMY #TheSAS2015 #Kaspersky
Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
3 место: интерфейс USB
На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.
На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.
Взлом медоборудования, фатальная уязвимость USB и другие ужасы, о которых мы узнали, побывав на Black Hat: http://t.co/DGOtlIQK3g
Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!
Скептики могут возразить, что в стандартном адаптере питания вредоносный код не запишешь, ибо некуда. Но это беда поправимая: при желании зарядку можно «творчески доработать» (аналогичная задача по инфицированию iPhone через зарядное устройство была решена уже больше двух лет назад).
Дальше остается только стратегически грамотно поместить такое «троянское питание» для публичного использования в каком-нибудь публичном месте. Или подменить зарядку жертвы, если речь идет об адресной атаке.
4 место: интерфейс Thunderbolt
Четвертое место в чарте занимает тоже «портовая» уязвимость, только связанная с другим интерфейсом — Thunderbolt. Оказывается, подключение через него также весьма небезопасно. Соответствующий сценарий атаки для устройств под управлением Mac OS X продемонстрировал в конце прошлого года исследователь в области безопасности Тремелл Хадсон.
Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.
Все, что вы хотели знать о Thunderstrike — первом (и очень серьезном!) бутките для Mac: http://t.co/XhV85kJOKO
После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.
5 место: BIOS
Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.
С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.
Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.
Новый BIOS-имплантат и инструмент обнаружения уязвимостей дебютировали на CanSecWest: http://t.co/ftkIzZdLxw
Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
Кто, как и зачем должен защищать контейнерную инфраструктуру?
Развитие рынка контейнерных технологий неизбежно увеличивает интерес к средствам защиты микросервисов. Какие инструменты и методы существуют сегодня в этой сфере, какие угрозы наиболее актуальны для контейнерной инфраструктуры, кто должен отвечать за защиту таких приложений — об этом и многом другом мы спросили собравшихся в студии Anti-Malware.ru представителей вендоров и интеграторов.
Введение
Новый сезон онлайн-конференций AM Live продолжила встреча, на которую мы пригласили ведущих экспертов в сфере защиты контейнерных сред. Микросервисы на основе контейнеров завоёвывают всё большую популярность и применяются для решения самых разных задач. Однако традиционные средства защиты зачастую не работают, если речь заходит о виртуальных средах. В прямом эфире из нашей студии мы поговорили о том, что собой представляют контейнерные приложения и как обеспечивать их безопасность.
Спикеры онлайн-конференции AM Live:
Модератором дискуссии выступил Денис Батранков, консультант по новым стратегиям безопасности компании Palo Alto Networks.
Что такое контейнеры
В начале беседы модератор предложил определиться с терминологией и попросил спикеров онлайн-конференции рассказать, что такое контейнеры и для чего они используются. Как пояснили эксперты, контейнеры по своей сути являются маленькими виртуальными машинами, призванными упростить и ускорить процесс разработки. Понятие «контейнер» тесно связано с термином Cloud Native Applications — так называют небольшие независимые облачные сервисы, основанные на четырёх базовых элементах. Это парадигма DevOps, реализация конвейера CI / CD, разработка приложений в соответствии с архитектурой микросервисов, а также использование контейнеров и средств их оркестровки.
Эксперты высказали мысль, что появление контейнеров стало ответом на плохую реализацию многозадачности в современных операционных системах. Контейнеризация в первую очередь помогает работать с опенсорс-продуктами, запуская их в рамках одного сервера, что было бы сложнее сделать штатными средствами ОС. Контейнеры имеют широкую область применения — они могут поставляться как сервис, из облака, или же разворачиваться в рамках компьютерной инфраструктуры заказчика.
Важным элементом контейнерной экосистемы являются средства оркестровки, позволяющие балансировать нагрузку, обеспечивать отказоустойчивость, осуществлять централизованное управление и, как следствие, создавать условия для масштабирования системы. Оркестровка может быть реализована четырьмя способами:
Рисунок 1. Основные элементы контейнерной среды
Говоря о жизненном цикле контейнера, наши спикеры выделили три главных этапа. Сначала контейнер создаётся или собирается, а также проходит функциональные и нагрузочные тесты. Далее следует этап хранения, когда контейнер находится в реестре образов, ожидая запуска. На третьей стадии происходит функциональная работа (runtime) контейнера.
Рисунок 2. Жизненный цикл контейнера
Что угрожает безопасности контейнеров
В декабре 2020 года специалисты компании Prevasio исследовали около 4 млн контейнеров, хранящихся в DockerHub, и обнаружили, что 51 % из них содержит критические уязвимости, а ещё 13 % — опасные бреши. Внутри образов были обнаружены криптомайнеры, хакерские инструменты и другие вредоносные программы. Только пятая часть всех исследованных образов не содержит известных уязвимостей. В связи с этим мы попросили наших экспертов рассказать, какие угрозы и риски существуют для контейнеров.
Денис Малыгин: в первую очередь, говоря о безопасности контейнеров, следует вспомнить о безопасности инфраструктуры, в рамках которой они запускаются. Важна не только правильная настройка систем оркестровки, но и конфигурация прав доступа к узлу Docker или самого Kubernetes. Второй аспект — это безопасность самого контейнера, проверка тех образов, которые использовались при его сборке.
Антон Гаврилов: чем позже уязвимость идентифицирована, тем сложнее её устранить. В этом суть парадигмы Shift Left, которая рекомендует уделять внимание вопросам безопасности уже в начале жизненного цикла продукта — на этапе проектирования или сбора требований. В конвейер CI / CD также могут быть встроены автоматические проверки безопасности — например, на этапе тестирования.
Андрей Лаптев: непрерывная интеграция (CI) также может стать точкой уязвимости — например, при тестировании с использованием внешних сервисов может произойти утечка данных, взятых из актуальной продуктовой базы. Поэтому к безопасности контейнера надо подходить комплексно, внимательно анализируя каждый этап его жизненного цикла. Контейнеризация более остро поставила вопрос доверия — к среде, к коду, к приложениям, которые мы запускаем.
Павел Коростелев: для Cloud Native Applications существует четыре уровня безопасности — безопасность кода, сборки, развёртывания и эксплуатации. Каждый из них включает в себя несколько элементов, которым необходимо уделять внимание. Например, на уровне безопасности кода это — безопасная разработка, безопасное описание инфраструктуры и управление компонентами с открытым кодом. Вся контейнерная безопасность, по сути, сводится к контролю целостности, разграничению доступа к конвейеру и обеспечению эффективного обнаружения уязвимостей до выпуска продукта.
Рисунок 3. Управление безопасностью контейнеров
Дмитрий Куракин: безопасность должна применяться на всех уровнях жизненного цикла контейнера. Важно, чтобы ИБ-инструменты были интегрированы в разработку на как можно более раннем этапе, что позволит уменьшить количество потенциальных угроз.
Михаил Кондрашин: специалисты по информационной безопасности традиционно работают в режиме реального времени, блокируя проблемы «здесь и сейчас». Внедрение унифицированных инструментов развёртывания приложения (а контейнер — один из способов унификации этого процесса) даёт также возможность унифицированно проверить его до того, как оно будет развёрнуто. Таким образом контейнеры можно заранее протестировать на присутствие вредоносного кода и наличие уязвимых компонентов, выявить оставленные секреты, а также проанализировать на предмет нарушения политик.
По традиции во время прямого эфира мы задаём вопросы зрителям конференции. Первый опрос был направлен на выявление состава аудитории. Как оказалось, 62 % наших зрителей являются специалистами по информационной безопасности, а 13 % представляют ИТ-департамент. В продажах, маркетинге и других направлениях бизнеса работают 19 % опрошенных, и только 6 % респондентов являются разработчиками.
Рисунок 4. Ваша роль в организации
Большинство зрителей AM Live считает, что для контейнерных сред требуются специализированные средства защиты. На соответствующий вопрос утвердительно ответили 76 % респондентов. Не видят необходимости в отдельных инструментах безопасности для контейнеров 12 % опрошенных. Столько же затруднились с ответом.
Рисунок 5. Нужны ли для контейнерных сред специальные средства защиты?
Развивая тему безопасности контейнерных сред, модератор дискуссии поднял вопрос о целевых пользователях специализированных ИБ-продуктов. Предназначены ли соответствующие системы для специалистов по информационной безопасности, или же они ближе к разработчикам и пользователям? Отвечая на этот вопрос, эксперты продемонстрировали разное позиционирование своих решений. Кто-то, как в случае с Trend Micro, более ориентирован на ИБ-специалистов, другие (Palo Alto Networks) сконцентрированы на выстраивании процессов между службой информационной безопасности, администраторами кластеров и разработчиками, а третьи (Sysdig Inc) обеспечивают видимость контейнеров, позволяя понять, как приложение написано и работает.
Зрители онлайн-конференции высказали своё мнение на тему наиболее востребованных функций безопасности для контейнеров. Аудитория AM Live считает, что в первую очередь необходима возможность управления уязвимостями. Этот вариант выбрали 29 % опрошенных. Функция соответствия внутренним политикам безопасности набрала 20 % голосов, за управление правами доступа и реестр доверенных приложений проголосовали 17 % и 16 % соответственно. Возможность контроля трафика считают наиболее востребованной 10 % наших зрителей, а управление секретами — только 8 %.
Рисунок 6. Какие функции безопасности контейнерных сред необходимы вам в первую очередь?
Управление секретами в контейнерных средах
Контейнерные микросервисы взаимодействуют между собой и внешними системами, устанавливая защищённые соединения, выполняя аутентификацию при помощи логинов и паролей, а также используя другие типы секретов. Как защитить ключи, пароли и прочие секретные данные в контейнерах от утечки? Как эта проблема решена в Kubernetes? Можно ли контролировать этот аспект безопасности?
Как пояснили спикеры онлайн-конференции AM Live, в Kubernetes существует базовый механизм управления секретами. Для этого определён специальный тип данных, который позволяет не хранить ключи и пароли в открытом виде. Кроме этого, на рынке присутствуют отдельные продукты — наложенные средства управления секретами в контейнерных средах. Необходимость дополнительных инструментов обусловлена отсутствием в Kubernetes механизма управления жизненным циклом секретов. Ещё один важный момент, на котором заострили внимание эксперты, — по умолчанию секреты всё равно хранятся в текстовом файле, а значит, при развёртывании контейнерной среды в облаке они могут стать доступны провайдеру.
Отдельно стоит вопрос об управлении подключением секретов: как контролировать процесс использования ключей, решать вопросы доступа одного контейнера к секретным данным другого. Это — ещё один уровень проблемы, требующий разработки политик безопасности и других методик управления секретами. Дополнительная проблема — незрелость и высокая волатильность рынка контейнерной оркестровки. Эксперты подчеркнули, что понимание того, как правильно реализовать управление секретами, ещё не сформировано.
Традиционные средства защиты в контейнерных средах
Далее модератор дискуссии спросил, можно ли использовать традиционные средства защиты (DLP, системы контроля сетевого трафика, WAF, NTA и другие) для обеспечения безопасности в виртуальных кластерных сетях и контейнерах.
Дмитрий Куракин отметил, что традиционные системы NGFW не могут эффективно контролировать трафик в виртуальных кластерных сетях. Поэтому существуют специальные средства класса Next Generation Firewall внутри кластера — контейнеры, выполняющие мониторинг передаваемых данных.
Денис Малыгин указал, что не всегда нужно встраивать в контейнер средства защиты, поскольку это увеличивает сложность приложения. В ряде случаев разумнее использовать традиционные инструменты безопасности. Отдельный класс решений предназначен для мониторинга контейнеров во время работы и оперативной их пересборки в случае выявления проблем.
Андрей Лаптев высказал мнение, что часть традиционных средств защиты безусловно можно использовать в контейнерных приложениях. Выбор метода обеспечения безопасности зависит от конкретной компании и состава уже имеющихся инструментов.
Михаил Кондрашин отметил, что если Kubernetes используется в качестве сервиса, то традиционные средства безопасности просто будет невозможно развернуть. Если же система оркестровки контейнеров размещается на собственной аппаратной базе, то для её защиты можно использовать весь спектр инструментов.
Павел Коростелев рассказал, что принципы защиты для обычной инфраструктуры и контейнеризации — одни и те же, однако их реализация может отличаться. Средство безопасности должно понимать ту среду, которую оно защищает.
Антон Гаврилов не согласился с тезисом, что защиту контейнерной среды можно построить только на универсальных инструментах. Эксперт считает, что в ряде случаев можно использовать стандартные средства безопасности, адаптированные под работу с виртуальными кластерами. Однако некоторые задачи можно решить только специализированными ИБ-инструментами для контейнеров.
Насколько развит рынок контейнеризации
Чтобы получить некоторое, пусть и довольно общее, представление об уровне проникновения контейнерных технологий на российский рынок, мы задали зрителям онлайн-конференции два вопроса, связанных с использованием виртуальных микросервисов в их организациях.
В частности, мы выяснили, что 17 % респондентов пока вообще не планируют внедрять инфраструктуру контейнеров, а 27 % проявляют интерес к этим технологиям, но конкретных работ по их внедрению не ведут. На стадии пилотного проекта находятся 14 % респондентов, а 16 % ответивших развернули несколько второстепенных приложений. В активной фазе эксплуатации контейнеров находится менее трети опрошенных, из которых 14 % развернули критически важные для бизнеса приложения, а 12 % — все.
Рисунок 7. Внедрена ли в вашей организации инфраструктура контейнеров?
Что же касается средств защиты, то 21 % наших зрителей используют штатные механизмы оркестратора, 8 % пользуются наложенными инструментами безопасности, а 30 % применяют комбинированный подход. Вообще не защищает контейнерные среды 41 % опрошенных.
Рисунок 8. Защищаете ли вы кластер среды контейнеризации?
Кто должен отвечать за защиту контейнеров
В заключение беседы мы попросили экспертов высказать свое мнение на тему того, кто в организации должен заниматься защитой контейнерной инфраструктуры — специалисты по информационной безопасности или разработчики? Что должны знать и уметь эти люди, а также кто выделяет деньги на внедрение систем защиты для контейнеров?
Спикеры конференции отметили, что в случае с контейнерами привычные роли команд меняются и действует принцип «кто разработал, тот и владеет». Механизмы управления средствами защиты отдаются разработчикам, однако отдельная команда ИБ-специалистов устанавливает правила безопасности и занимается расследованием инцидентов. Департамент, отвечающий за информационную безопасность, чаще всего выступает заказчиком внедрения средств защиты контейнерных технологий. Иногда к этому процессу подключаются разработчики и почти никогда — команда эксплуатации (operation team).
Что же касается знаний и навыков, необходимых ответственному за безопасность контейнеров специалисту, то среди главных «скиллов» эксперты AM Live назвали понимание инфраструктуры, знание Linux и Kubernetes, а также желание учиться и развиваться.
Выводы
Очередной выпуск конференции AM Live позволил комплексно взглянуть на проблему безопасности контейнерной инфраструктуры. В студии Anti-Malware.ru собрался сильный состав экспертов, не понаслышке знакомых с проблемой безопасности таких приложений. Спикеры, представлявшие разных вендоров и системных интеграторов, продемонстрировали широкий спектр мнений по ключевым вопросам защиты контейнеров, а также разное видение этого рынка.
Чтобы не пропускать новые выпуски онлайн-конференции AM Live, рекомендуем подписаться на наш YouTube-канал и включить уведомления о публикации новых материалов. До новых встреч в прямом эфире!