Pour la première fois dans l'histoire, Les chercheurs ont découvert un ver de cryptojacking. Les Palo Alto Networ Unit 42 enquêteurs de sécuriték inc. ils ont fait la trouvaille de ce ver de cryptojacking qui se propage à l'aide de conteneurs logiciels Docker. Ce ver de cryptojacking exploite la solution de plate-forme en tant que service (PaaS) que les développeurs de logiciels utilisent pour tester et déployer des applications sur les plates-formes Windows et Linux.
Depuis docker permet aux applications de s'exécuter dans un environnement virtuel distinct des autres applications Windows, permettant aux développeurs d'exécuter des applications sur des ressources système partagées. Surnommé "Graboid", le ver s'est propagé à plus de 2,000 XNUMX hôtes Docker dangereux et utilise des hôtes infectés pour extraire la crypto-monnaie «Monero».
Monero est la crypto-monnaie préférée des pirates car elle est anonyme et extrêmement difficile à suivre. Au contraire, le bitcoin peut être suivi via un registre public.
Los Investigadores trouvé plusieurs images de conteneurs associéss avec l'attaque à différents stades de la chaîne d'infection. Ces conteneurs ont été supprimés par le support Docker HubAprès avoir été alertée par les chercheurs, l'une des images de conteneur exécutant CentOS a tenté de se connecter à des serveurs de commande et de contrôle (C2) prédéfinis pour télécharger et exécuter quatre scripts shell.
Les responsables de Graboid identifient les moteurs Docker non sécurisés pour démarrer le processus d'infection. Une fois le point d'entrée identifié, le ver se déplie pour commencer son voyage.
Lors du téléchargement de certains scripts à partir d'un serveur de commande et de contrôle, le ver est essentiellement autosuffisant, il démarre la crypto-monnaie sur l'hôte Docker infectés en cherchant de nouvelles victimes. Graboid commence par sélectionner au hasard trois cibles potentielles d'infection, installe le ver sur la première cible et arrête le mineur sur la deuxième cible, en commençant l'extraction sur la troisième cible.
"Cette procédure conduit à un comportement de minage très aléatoire", expliquent aujourd'hui les chercheurs. «Si mon hôte est compromis, le conteneur malveillant ne démarre pas tout de suite. Au lieu de cela, je dois attendre qu'un autre hôte compromis me choisisse et démarre mon processus d'extraction… Essentiellement, le mineur sur chaque hôte infecté est contrôlé au hasard par tous les autres hôtes infectés.
En moyenne, chaque mineur était actif 63% du temps et chaque période d'extraction a duré 250 secondes, ce qui rend l'activité difficile à détecter car la plupart des logiciels de protection des terminaux n'inspectent pas les données et les activités dans les conteneurs.
Les chercheurs de l'Unité 42 ont travaillé avec l'équipe Docker pour supprimer les images de conteneurs malveillantes, mais le risque d'infections futures à partir de variantes utilisant des techniques similaires est réel.
«Si un ver plus puissant est créé pour adopter une approche d'infiltration similaire, il pourrait causer des dommages bien plus importants, il est donc impératif que les organisations protègent leurs hôtes Docker», ont averti les chercheurs.
Sur article de blog sur Graboid, les chercheurs en sécurité offrent des conseils cela peut aider à prévenir l'infection. En leur sein, les chercheurs de Palo Alto conseillez aux entreprises de ne jamais exposer directement leurs démons Docker à Internet sans authentification appropriée.
En fait, Docker Engine n'est pas exposé à Internet par défaut, de sorte que les implémentations non sécurisées exploitées par ce ver ont été configurées manuellement pour être accessibles au public.
Autre des conseils donnés par les chercheurs est que entreprises utilisant SSH avec une authentification forte s'ils ont besoin de se connecter à distance à un démon Docker et de le combiner avec des règles de pare-feu qui limitent les connexions à une liste d'adresses IP de confiance.
En outre, recommandent aux administrateurs de s'assurer de ne jamais déployer d'images de conteneur Docker à partir de sources non approuvées sur Docker Hub et vérifiez régulièrement leurs implémentations Docker pour supprimer des conteneurs ou des images inconnus.