T1525: ВПРОВАДЖЕННЯ ВНУТРІШНЬОГО ОБРАЗУ (IMAGE)
Зловмисники впроваджують шкідливий код у хмарні образи (AWS AMI, GCP/Azure Images) або образи контейнерів (Docker) всередині внутрішнього реєстру жертви. Замість простого завантаження вірусу, вони створюють «отруєний» фундамент. Якщо інструменти автоматизації (Terraform, Ansible) налаштовані на використання останньої версії образу, кожна нова розгорнута віртуальна машина або контейнер автоматично міститиме бекдор зловмисника.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть впроваджувати шкідливий код у хмарні образи або образи контейнерів для встановлення стійкості (Persistence) після отримання доступу до середовища. Образи Amazon Machine Images (AMI) в AWS, образи Google Cloud Platform (GCP) та Azure, а також популярні середовища виконання контейнерів, такі як Docker, можуть бути скомпрометовані або оснащені бекдорами. На відміну від техніки Upload Malware (завантаження шкідливого ПЗ), ця техніка зосереджена на впровадженні образу безпосередньо в реєстр усередині середовища жертви.
Залежно від того, як підготовлена інфраструктура, це може забезпечити постійний доступ, якщо інструмент підготовки інфраструктури (Infrastructure as Code) налаштований завжди використовувати останній доступний образ.
Було розроблено спеціальні інструменти для полегшення встановлення бекдорів у образи хмарних контейнерів. Якщо зловмисник має доступ до скомпрометованого інстансу AWS та дозволи на перегляд доступних образів контейнерів, він може впровадити бекдор, наприклад, Web Shell.
Чому це одна з найнебезпечніших технік?
- Масштабованість: Один заражений образ у реєстрі призводить до зараження сотень або тисяч інстансів, що розгортаються автоматично.
- Довіра до джерела: Системи захисту часто не сканують внутрішні образи, вважаючи їх перевіреними та безпечними (на відміну від зовнішніх публічних образів).
- Прихованість: Бекдор може бути «сплячим» і активуватися лише у виробничому середовищі (Production), уникаючи виявлення в пісочницях розробників.
- Стійкість до очищення: Традиційне «лікування» шляхом видалення віртуальної машини та створення нової не працює — нова машина буде створена з того ж зараженого образу.
Як захиститися?
- Сканування образів: Використовуйте інструменти (Trivy, Clair, Amazon Inspector) для автоматичного сканування образів у реєстрах на наявність вразливостей та шкідливого коду.
- Підпис образів (Image Signing): Використовуйте Docker Content Trust або подібні механізми, щоб дозволити запуск лише тих образів, які мають цифровий підпис довіреного розробника.
- Immutable Infrastructure: Забороніть зміну існуючих образів. Кожна зміна має створювати новий образ з унікальним тегом (уникайте використання тегу :latest).
- Контроль доступу (RBAC): Обмежте права на запис до внутрішніх реєстрів образів лише для авторизованих CI/CD сервісів.