Docker 成为了加密劫持蠕虫 Graboid 目标, 该蠕虫是刚刚被发现并命名的.
根据 Unit 42 的研究人员称, 该蠕虫旨在挖掘 Monero 加密货币, 到目前为止, 已经感染了 2,000 多台不安全的 Docker 引擎 (社区版) 主机, 这些主机正在清理中.
根据 Unit 42 的数据, 最初的恶意 Docker 镜像已被下载了 10,000 次以上, 蠕虫自身已被下载了 6,500 多次. 管理员可以通过镜像创建历史记录, 查找名为 "gakeaws / nginx" 的镜像来发现感染.
攻击者通过不安全的 Docker daemons 获得了最初的立足点, 该 daemons 首先安装了 Docker 镜像以在受感染的主机上运行. 另外, 攻击者无需任何身份验证或授权, 即可完全控制 Docker 引擎和主机. 攻击者利用此入口点来部署和传播蠕虫.
一旦恶意 Docker 容器启动并运行, 它将从 15 个 C2 服务器中的一个下载四个不同的脚本以及易受感染的主机列表. 然后, 它随机选择三个目标, 将蠕虫安装在第一个目标上, 在第二个受感染主机上停止安装挖矿, 并在第三个也已被感染的目标上启动挖矿.
研究人员解释说:"这一程序导致了非常随机的挖矿行为." "如果我的主机受到威胁, 则恶意容器不会立即启动. 取而代之的是, 我必须等到另一位受到感染的主机选择我并开始我的挖掘过程. 其他受到感染的主机也可以随机停止我的挖掘过程. 本质上, 每台受感染主机上的挖矿均由所有其他受感染主机随机控制. 这种随机设计的动机尚不清楚."
以下是更详细的分步操作:
攻击者选择了一个不安全的 Docker 主机作为目标, 并发送远程命令来下载和部署恶意 Docker 镜像 pocosow / CentOS:7.6.1810. 该镜像包含用于与其他 Docker 主机进行通信的 Docker 客户端工具.
pocosow / CentOS 容器中的入口点脚本 / var / sbin / bash 从 C2 下载 4 个 shell 脚本, 并一一执行. 下载的脚本为 live.sh,worm.sh,cleanxmr.sh 和 xmr.sh.
live.sh 将受感染主机上的可用 CPU 数量发送到 C2.
worm.sh 下载文件 "IP", 其中包含 2000 多个 IP 的列表. 这些 IP 是具有不安全 docker API 端点的主机. worm.sh 随机选择一个 IP 作为目标, 并使用 docker 客户端工具远程拉动和部署 pocosow / CentOS 容器.
cleanxmr.sh 从 IP 文件中随机选择一个易受攻击的主机, 然后停止目标上的 cryptojacking 容器. cleanxmr.sh 不仅会停止蠕虫部署的密码劫持容器(gakeaws / nginx), 而且还会停止其他基于 xmrig 的容器(如果它们正在运行).
xmr.sh 从 IP 文件中随机选择一个易受攻击的主机, 然后在目标主机上部署镜像 gakeaws / nginx.gakeaws / nginx 包含伪装成 nginx 的 xmrig 二进制文件.
在每个受感染的主机上定期重复执行步骤 1 至步骤 6. 上一次已知的刷新间隔设置为 100 秒. 启动 pocosow / CentOS 容器后, 刷新间隔, shell 脚本和 IP 文件都从 C2 下载.
在使用 2000 个潜在受害者池中的蠕虫进行模拟时, 研究人员发现, 蠕虫可以在一个小时内传播到 1400 个易受攻击主机中的 70%. 此外, 每个矿工有 63%的时间处于活动状态, 每个挖矿期持续 250 秒; 因此, 在模拟中, 在受攻击的 1400 个主机群集中, 平均有 900 个矿工始终保持活跃.
虽然这种加密劫持蠕虫不涉及复杂的策略, 技术或过程, 但该蠕虫可以定期从 C2 提取新脚本, 因此它可以轻松地将其自身重新用于勒索软件或任何恶意软件, 以完全破坏主机, 所以这不应被忽略. 如果创建了一种更强大的蠕虫来采用类似的渗透方法, 则可能造成更大的破坏, 因此使用者必须保护其 Docker 主机.
以下是使用者可以防止受到攻击的措施:
如果没有适当的身份验证机制, 切勿将 docker daemons 暴露在互联网. 请注意, 默认情况下, Docker Engine 不会暴露于互联网.
使用 Unix 套接字在本地与 Docker daemons 进行通信, 或者使用 SSH 连接到远程 Docker daemons.
切勿从未知注册表或未知用户名称空间中提取 Docker 镜像.
经常检查系统中是否有未知的容器或镜像.
相关 IoC:
Docker 镜像:
- pocosow / CentOS:7.6.1810:
- sha256:6560ddfd4b9af2c87b48ad98d93c56fbf1d7c507763e99b3d25a4d998c3f77cf
- gakeaws / nginx:8.9:
- sha256:4827767b9383215053abe6688e82981b5fbeba5d9d40070876eb7948fb73dedb
- gakeaws / MySQL:
- sha256:15319b6ca1840ec2aa69ea4f41d89cdf086029e3bcab15deaaf7a85854774881
C2 服务器:
- 120.27.32[.]15
- 103.248.164[.]38
- 101.161.223[.]254
- 61.18.240[.]160
- 182.16.102[.]97
- 47.111.96[.]197
- 106.53.85[.]204
- 116.62.48[.]5
- 114.67.68[.]52
- 118.24.222[.]18
- 106.13.127[.]6
- 129.211.98[.]236
- 101.37.245[.]200
- 106.75.96[.]126
- 47.107.191[.]137
来源: http://www.tuicool.com/articles/AviUrim