安基網 首頁 資訊 安全報 查看內容

Docker Hub鏡像中發現加密挖礦蠕蟲病毒

2019-10-19 09:07| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: Palo Alto Networks威脅情報小組Unit 42發現一種新型Graboid挖礦蠕蟲病毒,目前已知這個蠕蟲已經感染了超過2000臺不安全的Docker主機,用于挖取Monero加密貨幣。研究人員提醒,雖然這個挖礦綁架蠕蟲沒有復雜技術或是程序,但是由于其有能力從C&C服務器下載新腳本,因此可以簡單地轉換成勒索軟件或是 ...

Palo Alto Networks威脅情報小組Unit 42發現一種新型Graboid挖礦蠕蟲病毒,目前已知這個蠕蟲已經感染了超過2000臺不安全的Docker主機,用于挖取Monero加密貨幣。研究人員提醒,雖然這個挖礦綁架蠕蟲沒有復雜技術或是程序,但是由于其有能力從C&C服務器下載新腳本,因此可以簡單地轉換成勒索軟件或是任何惡意軟件,企業應提高保護自家Docker主機的能力。

過去也有以蠕蟲病毒的形式,來散布挖礦綁架惡意軟件的案例,但是這是第一次挖礦綁架蠕蟲被發現存在Docker社群版本中,使用容器進行傳播。研究人員表示,由于大多數傳統端點保護軟件,都不會檢查容器中的數據及活動,因此這種惡意活動難以被發現。

整個攻擊鏈從攻擊者在互聯網中,選定一個不安全的Docker守護行程(Daemon)開始,在上面執行從Docker Hub提取的惡意容器,并且從C&C服務器下載一些腳本以及容易受攻擊的主機列表,接著挑選下一個攻擊目標以傳播蠕蟲。Graboid會在容器中進行挖礦以及散布蠕蟲,每次迭代Graboid隨機挑選三個目標,在第一個目標安裝蠕蟲,停止第二個目標的礦工行動,并在第三個目標上啟動礦工,而這樣的機制讓采礦行為變得非常隨機。

也就是說,當被害者主機被感染時,惡意容器并不會立刻啟動,必須要等待另外一個受感染主機的信號,挖礦程序才會被啟動,而正在挖礦的主機,也會隨機接收到其他受感染的主機停止挖礦的信號。每臺受感染主機的礦工都由其他受感染的主機隨機控制,研究人員表示,他們不清楚這種隨機控制的設計動機,因為以規避偵測的角度來看,這樣的機制效果不佳,比較可能是設計不良或是有其他的目的。

Unit 42進行了模擬,來了解蠕蟲整體采礦的能力,包括蠕蟲散布的速度,以及每個礦工在受感染的主機上平均活動時間。研究人員提到,以2000臺主機規模進行的實驗,蠕蟲病毒要花費大概60分鐘,才能感染其中1400臺易受感染的主機,由于受感染主機上礦工隨機啟動和停止的挖礦行為,每個礦工約只有65%的時間處于活動狀態,每個礦工采礦周期平均僅持續250秒。

研究團隊分析了蠕蟲使用的主機列表,其中包含2034臺易受攻擊的主機,57.4%的IP來自中國,而13%位于美國,在Graboid使用的15臺C&C服務器中,主機列表中列了其中的14臺,這表示攻擊者會控制易受感染主機的Docker守護行程,在上面安裝WEB服務器容器,并將惡意載體放在上面。

Graboid攻擊會使用到的Docker鏡像pocosow/centos已經被下載超過一萬次,而gakeaws/nginx也已經被下載6500次,Unit 42發現gakeaws還發布了另一個挖礦綁架鏡像gakeaws/mysql,其內容與gakeaws/nginx相同。不過這些有害鏡像,都在研究人員與Docker團隊聯絡后,全部被移除。

研究人員警告,當沒有適當的身份驗證機制,企業不應該把Docker守護行程暴露在互聯網上,而且其實在預設情況下,Docker社群版是不會暴露Docker守護行程的。企業應該使用Unix Socket來跟本地Docker守護行程溝通,或是使用SSH連接遠端Docker守護行程。

企業需注意在防火墻規則中加入白名單,限定流入流量的來源,切勿從未知注冊表或未知用戶名稱空間提取Docker鏡像,平時也該定期檢查系統是否存在未知的容器或是鏡像,也可以使用云端安全解決方案,識別惡意容器。

【ZOL客戶端下載】看最新科技資訊,APP市場搜索“中關村在線”,客戶端閱讀體驗更好。(7298301)



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6749306957389103623/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧