Ensimmäistä kertaa historiassa Tutkijat ovat löytäneet kryptojacking mato. Los Palo Alto Networ 42 -yksikön turvallisuuden tutkijatk Inc. he tekivät löydön tämän kryptojacking mato että leviää Docke-ohjelmistosäiliöillär. Tämä kryptojacking-mato hyödyntää PaaS (platform-as-a-service) -ratkaisua, jota ohjelmistokehittäjät käyttävät testaamaan ja asentamaan sovelluksia Windows- ja Linux-alustoille.
Koska telakointiaseman avulla sovellukset voivat toimia virtuaalisessa ympäristössä erillään muista Windows-sovelluksista, jolloin kehittäjät voivat käyttää sovelluksia jaetuissa järjestelmäresursseissa. Lempinimi "Graboid", mato levisi yli 2,000 XNUMX Docker-isäntään vaarallinen ja käyttää tartunnan saaneita isäntiä Monero-salausvaluutan louhintaan.
Monero on hakkereiden suosikki kryptovaluutta, koska se on tuntematon ja erittäin vaikea seurata. Pikemminkin bitcoinia voidaan seurata julkisen kirjan avulla.
Tutkijat löysi useita kuvia liittyvistä säiliöistäs hyökkäyksen kanssa infektioketjun eri vaiheissa. Nämä astiat poistettiin Docker Hub -tuen avullaTutkijoiden ilmoituksen saatuaan yksi CentOS-sovellusta sisältävistä konttikuvista yritti muodostaa yhteyden ennalta määritettyihin komento- ja ohjauspalvelimiin (C2) ladata ja suorittaa neljä komentosarjaa.
Graboidin takana olevat henkilöt tunnistavat epävarmat Docker-moottorit tartuntaprosessin aloittamiseksi. Kun lähtökohta on tunnistettu, mato avautuu aloittaakseen matkansa.
Kun lataat joitain komentosarjoja komento- ja ohjauspalvelimelta, mato on pohjimmiltaan omavarainen, se aloittaa kryptovaluutan Docker-isännässä tartunnan saaneita etsiessään uusia uhreja. Graboid aloittaa valitsemalla satunnaisesti kolme potentiaalista tartuntakohdetta, asentamalla mato ensimmäiseen kohteeseen ja pysäyttäen kaivosmiehen toisen kohteen kohdalla ja aloittamalla kaivoksen kolmannesta kohteesta.
"Tämä menettely johtaa hyvin satunnaiseen kaivoskäyttäytymiseen", tutkijat selittivät tänään. ”Jos isäntäni on vaarantunut, haitallinen kontti ei ala heti. Sen sijaan minun on odotettava, kunnes toinen vaarantunut isäntä valitsee minut ja aloittaa kaivosprosessini ... Pohjimmiltaan kaikkien muiden tartunnan saaneiden isäntien kaivosmiehiä ohjataan satunnaisesti.
Jokainen kaivosmies oli aktiivinen keskimäärin 63% ajasta ja jokainen kaivosjakso kesti 250 sekuntia, mikä vaikeutti toiminnan havaitsemista, koska useimmat päätepisteen suojausohjelmistot eivät tarkasta tietoja ja toimintaa konttien sisällä.
Yksikön 42 tutkijat työskentelivät Docker-tiimin kanssa haitallisten säiliökuvien poistamiseksi, mutta vastaavien tekniikoiden muunnelmilla on tulevien infektioiden riski.
"Jos koskaan luodaan tehokkaampi mato käyttämään samanlaista tunkeutumistapaa, se voi aiheuttaa paljon suurempia vahinkoja, joten on välttämätöntä, että organisaatiot suojaavat Docker-isäntänsä", tutkijat varoittivat.
Että blogiviesti Graboidista, turvallisuustutkijat tarjoavat neuvoja joka voi estää infektioita. Niissä Palo Alton tutkijat neuvoo yrityksiä olemaan koskaan paljastamatta Docker-demoneitaan suoraan Internetiin ilman asianmukaista todennusta.
Itse asiassa Docker Engine ei ole oletusarvoisesti Internet-alttiina, joten tämän maton hyödyntämät epävarmat toteutukset on määritetty manuaalisesti julkisesti saataville.
Otro tutkijoiden antamista neuvoista on yritykset, jotka käyttävät SSH: tä vahvalla todennuksella jos heidän on muodostettava etäyhteys Docker-daemoniin ja yhdistettävä se palomuurisääntöihin, jotka rajoittavat yhteyden luotettavien IP-osoitteiden luetteloon.
Lisäksi, Suosittelemme, että järjestelmänvalvojat varmistavat, etteivät he koskaan asenna Docker-säilökuvia epäluotettavista lähteistä Docker Hub -sovelluksessa ja tarkista säännöllisesti Docker-toteutuksensa tuntemattomien säiliöiden tai kuvien poistamiseksi.