位置:编程技术网 > 产品设计 > 正文 >

Docker Hub镜像中首次发现名为Graboid的加密挖矿蠕虫病毒

2019年10月20日 04:31来源:未知手机版

4444kkkcom,华讯,中药丰胸有用吗

【IT168 资讯】Palo Alto Networks (派拓网络)威胁情报团队Unit 42近日宣布发现一种新型加密挖矿蠕虫病毒,已有2000多台Docker主机因保护不力而受到感染。Unit 42将该病毒命名为Graboid,是向90年代电影《异形魔怪》致敬,其行为与电影中的沙虫相类似,移动速度较快但总体来讲相对笨拙。

尽管也发生过以蠕虫病毒形式传播的加密挖矿恶意事件,但这是我们首次在Docker Engine(社区版)中发现借助容器传播的加密挖矿蠕虫病毒。由于多数传统端点防护软件都不检测容器内的数据和活动,因此很难发现这一类型的恶意活动。攻击者首先通过不安全的Docker Daemon站稳脚跟,然后在受感染的主机上安装一个Docker镜像并运行。恶意软件从C2服务器上下载并部署完毕后,便开始挖矿寻找门罗币。此外,恶意软件会定期从C2服务器搜索新的带有漏洞的主机,然后随机选择下一个目标进行传播。我们的分析表明,挖矿病毒平均有63%的时间处于活跃状态,每个挖矿周期持续250秒。在Unit 42向Docker团队通报该情况后,Docker团队便迅速与Unit 42团队联手删除这些恶意镜像。

容器化加密挖矿蠕虫病毒


加密挖矿蠕虫病毒活动概览

>

以下为具体操作步骤

1. 攻击者选取某个不安全的docker主机作为攻击目标,然后远程发布指令下载并部署恶意Docker镜像pocosow/centos:7.6.1810. 该镜像含有一个用来与其他Docker主机通信的 docker client工具

2. pocosow/centos 容器中的入口脚本/var/sbin/bash会从C2服务器下载4个shell脚本并逐个运行,这4个脚本分别是live.sh, worm.sh, cleanxmr.sh, xmr.sh

3. 脚本live.sh将被攻击主机上的可用CPU数量发送至C2服务器

4. 脚本worm.sh下载一个名为“IP”的文档,其中包含2000多个IP地址。这些IP地址便是那些有着不安全的docker API端点的主机。Worm.sh随机选取一个IP地址作为攻击对象,使用docker client工具远程获取并部署pocosow/centos container容器

5. 脚本cleanxmr.sh随机选取IP文件中某个带有漏洞的主机,终止其上的加密挖矿容器。cleanxmr.sh终止的不仅是蠕虫部署的加密挖矿容器(gakeaws/nginx),也包含少数处于运行状态的xmrig容器

6. 脚本xmr.sh随机选取IP文件中某个带有漏洞的主机,然后将镜像gakeaws/nginx部署于目标主机之上。gakeaws/nginx含有伪装成为nginx的二进制xmrig

步骤1-6每隔一段时间便会在每个受感染的主机上反复执行,刷新间隔时间设定为100秒。pocosow/centos 容器部署后,刷新间隔时间、shell脚本以及IP文档就会从C2服务器上下载。

在写入期间,如图2所示,Docker镜像pocosow/centos下载次数超过10000次,而gakeaws/nginx也超过6500次。此外,我们还注意到,同一个用户(gakeaws)发布了另外一个加密挖矿镜像gakeaws/mysql,其和gakeaws/nginx内容相同。只有在shell脚本下载并在容器内运行后,pocosow/centos镜像的不良企图才会被察觉。但通过其镜像创建历史,我们也可以轻松发现gakeaws/nginx 镜像的恶意企图。如图3所示,其只在创建时间栏(第7行)里将二进制xmrig重新命名为nginx。即便如此在创建时间里(第7行)付款地址也以硬编码的形式来应对不断变化的环境。

图4显示了IP地址文件中列出的2,034个易受攻击的主机位置——57.4%的IP地址来自中国,其次有13%来自美国。我们还注意到,在恶意软件使用的15台C2服务器中,有14台主机列在IP地址文件中,剩下的那1台主机有50多个已知漏洞。这表明攻击者可能破坏了这些主机并将其用作C2服务器。通过对Docker daemon的控制,可以轻松部署Web服务器容器(例如httpd、nginx)并将有效负载放置其上。

本文地址:http://www.reviewcode.cn/chanpinsheji/84284.html 转载请注明出处!

今日热点资讯