你的Docker容器可能充满了Graboid加密蠕虫
2019-10-18 11:17:21 Author: www.freebuf.com(查看原文) 阅读量:187 收藏

Docker成为了加密劫持蠕虫Graboid目标,该蠕虫是刚刚被发现并命名的。

根据Unit 42的研究人员称,该蠕虫旨在挖掘Monero加密货币,到目前为止,已经感染了2,000多台不安全的Docker引擎(社区版)主机,这些主机正在清理中。

根据Unit 42的数据,最初的恶意Docker镜像已被下载了10,000次以上,蠕虫自身已被下载了6,500多次。管理员可以通过镜像创建历史记录,查找名为“ gakeaws / nginx”的镜像来发现感染。

攻击者通过不安全的Docker daemons获得了最初的立足点,该daemons首先安装了Docker镜像以在受感染的主机上运行。另外,攻击者无需任何身份验证或授权,即可完全控制Docker 引擎和主机。攻击者利用此入口点来部署和传播蠕虫。

一旦恶意Docker容器启动并运行,它将从15个C2服务器中的一个下载四个不同的脚本以及易受感染的主机列表。然后,它随机选择三个目标,将蠕虫安装在第一个目标上,在第二个受感染主机上停止安装挖矿,并在第三个也已被感染的目标上启动挖矿。

研究人员解释说:“这一程序导致了非常随机的挖矿行为。” “如果我的主机受到威胁,则恶意容器不会立即启动。取而代之的是,我必须等到另一位受到感染的主机选择我并开始我的挖掘过程。其他受到感染的主机也可以随机停止我的挖掘过程。本质上,每台受感染主机上的挖矿均由所有其他受感染主机随机控制。这种随机设计的动机尚不清楚。”

以下是更详细的分步操作:

1. 攻击者选择了一个不安全的Docker主机作为目标,并发送远程命令来下载和部署恶意Docker镜像pocosow / centos:7.6.1810。该镜像包含用于与其他Docker主机进行通信的Docker 客户端工具。

2. pocosow / centos容器中的入口点脚本/ var / sbin / bash从C2下载4个shell脚本,并一一执行。下载的脚本为live.sh,worm.sh,cleanxmr.sh和xmr.sh。

3. live.sh将受感染主机上的可用CPU数量发送到C2。

4. worm.sh下载文件“ IP”,其中包含2000多个IP的列表。这些IP是具有不安全docker API端点的主机。worm.sh随机选择一个IP作为目标,并使用docker客户端工具远程拉动和部署pocosow / centos容器。

5. cleanxmr.sh从IP文件中随机选择一个易受攻击的主机,然后停止目标上的cryptojacking容器。cleanxmr.sh不仅会停止蠕虫部署的密码劫持容器(gakeaws / nginx),而且还会停止其他基于xmrig的容器(如果它们正在运行)。

6. xmr.sh从IP文件中随机选择一个易受攻击的主机,然后在目标主机上部署镜像gakeaws / nginx。gakeaws / nginx包含伪装成nginx的xmrig二进制文件。

在每个受感染的主机上定期重复执行步骤1至步骤6。上一次已知的刷新间隔设置为100秒。启动pocosow / centos容器后,刷新间隔,shell脚本和IP文件都从C2下载。

在使用2000个潜在受害者池中的蠕虫进行模拟时,研究人员发现,蠕虫可以在一个小时内传播到1400个易受攻击主机中的70%。此外,每个矿工有63%的时间处于活动状态,每个挖矿期持续250秒;因此,在模拟中,在受攻击的1400个主机群集中,平均有900个矿工始终保持活跃。

虽然这种加密劫持蠕虫不涉及复杂的策略,技术或过程,但该蠕虫可以定期从C2提取新脚本,因此它可以轻松地将其自身重新用于勒索软件或任何恶意软件,以完全破坏主机,所以这不应被忽略。如果创建了一种更强大的蠕虫来采用类似的渗透方法,则可能造成更大的破坏,因此使用者必须保护其Docker主机。

以下是使用者可以防止受到攻击的措施:

1. 如果没有适当的身份验证机制,切勿将docker daemons暴露在互联网。请注意,默认情况下,Docker Engine不会暴露于互联网。

2. 使用Unix套接字在本地与Docker daemons进行通信,或者使用SSH连接到远程Docker daemons。

3. 切勿从未知注册表或未知用户名称空间中提取Docker镜像。

4. 经常检查系统中是否有未知的容器或镜像。

相关IOC:

Docker镜像:

pocosow / centos:7.6.1810:

sha256:6560ddfd4b9af2c87b48ad98d93c56fbf1d7c507763e99b3d25a4d998c3f77cf

gakeaws / nginx:8.9:

sha256:4827767b9383215053abe6688e82981b5fbeba5d9d40070876eb7948fb73dedb

gakeaws / mysql:

sha256:15319b6ca1840ec2aa69ea4f41d89cdf086029e3bcab15deaaf7a85854774881

C2 服务器:

120.27.32[.]15

103.248.164[.]38

101.161.223[.]254

61.18.240[.]160

182.16.102[.]97

47.111.96[.]197

106.53.85[.]204

116.62.48[.]5

114.67.68[.]52

118.24.222[.]18

106.13.127[.]6

129.211.98[.]236

101.37.245[.]200

106.75.96[.]126

47.107.191[.]137

*本文作者:Threatbook,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/news/217163.html
如有侵权请联系:admin#unsafe.sh