Per primera vegada en la història, els investigadors han descobert un cuc de criptojacking. Els Investigadors de seguretat de la Unitat 42 de Palo Alto Network Inc. van fer la troballa d'aquest cuc cryptojacking que es propaga utilitzant contenidors de programari Docker. Aquest cuc cryptojacking explota la solució de plataforma com a servei (PAAS) que utilitzen els desenvolupadors de programari per provar i implementar aplicacions en plataformes Windows i Linux.
Ja que docker permet que les aplicacions s'executin en un entorn virtual separat d'altres aplicacions de Windows, el que permet als desenvolupadors executar aplicacions en recursos compartits de el sistema. anomenat «Graboid», el cuc es va estendre a més de 2,000 hosts Docker no segurs i utilitza els hosts infectats per extreure la moneda digital "Monero".
Monero és una moneda digital favorita dels pirates informàtics perquè és anònima i extremadament difícil de rastrejar. Per contra, bitcoin es pot rastrejar a través d'un llibre públic.
Els Investigadors van trobar diverses imatges de contenidors associats amb l'atac en diferents etapes de la cadena d'infecció. Aquests contenidors van ser eliminats pel suport de Docker Hub, Després de ser alertat pels investigadors, una de les imatges de l'contenidor que executava CentOS intentava connectar-se a servidors de comandament i control (C2) predefinits per descarregar i executar XNUMX scripts de shell.
Els que estan darrere de Graboid identifiquen motors Docker insegurs per iniciar el procés d'infecció. Un cop que s'identifica el punt d'entrada, el cuc es desplega per començar el seu camí.
A l'descarregar algunes seqüències d'ordres d'un servidor de comandament i control, el cuc és essencialment autosuficient, comença a criptominar al host Docker infectat mentre busca noves víctimes. Graboid comença seleccionant aleatòriament tres objectius potencials per a la infecció, instal·lant el cuc en el primer objectiu i deté el miner al segon objectiu, començant a minar al tercer objectiu.
«Aquest procediment condueix a un comportament miner molt aleatori», van explicar els investigadors avui. "Si la meva host es veu compromès, el contenidor maliciós no s'inicia immediatament. En canvi, he d'esperar fins que un altre host compromès m'esculleixi i comenci el meu procés de mineria ... Essencialment, el miner en cada host infectat és controlat aleatòriament per tots els altres hosts infectats «.
De mitjana, cada miner va estar actiu el 63% de el temps i cada període de mineria va durar 250 segons, el que dificulta la detecció de l'activitat, ja que la majoria del programari de protecció de punt final no inspecciona les dades i les activitats dins de els contenidors.
Els investigadors de la Unitat 42 van treballar amb l'equip de Docker per eliminar les imatges malicioses d'el contenidor, però el risc de futures infeccions per variants que utilitzen tècniques similars és real.
«Si alguna vegada es crea un cuc més potent per adoptar un enfocament d'infiltració similar, podria causar un dany molt més gran, de manera que és imperatiu que les organitzacions protegeixin als seus amfitrions Docker», van advertir els investigadors.
En la publicació de l'bloc sobre Graboid, els investigadors de seguretat ofereixen consells que poden ajudar a prevenir la infecció. Dins d'ells, els investigadors de Palo Alto aconsellen a les empreses que mai exposin els seus dimonis Docker directament a Internet sense una autenticació adequada.
De fet, Docker de cerca no està exposat a Internet per defecte, de manera que les implementacions no segures explotades per aquest cuc s'han configurat manualment perquè estiguin disponibles públicament.
Un altre dels consells que donen els investigadors és que les companyies que facin servir SSH amb autenticació una forta si necessiten connectar-se remotament a un dimoni Docker i combinar-ho amb regles de tallafocs que limiten les connexions a una llista d'adreces IP fiables.
A més, recomanen que els administradors s'assegurin que mai implementin imatges de contenidors Docker de fonts poc fiables en Docker Hub i que verifiquin amb freqüència els seus implementacions de Docker per eliminar contenidors o imatges desconegudes.