Prvi put u povijesti, Istraživači su otkrili crva za kriptootjecanje. The Jedinica Palo Alto Networ 42, Istražitelji sigurnostiK Inc. pronašli su nalaz ovog crva kriptojezga koji širi se pomoću programskih spremnika Docker. Ovaj crv kriptojackanja koristi rješenje platforme kao usluge (PaaS) koje programeri koriste za testiranje i postavljanje aplikacija na Windows i Linux platformi.
Budući da docker omogućuje aplikacijama da se izvode u virtualnom okruženju odvojeno od ostalih Windows aplikacija, omogućavajući programerima pokretanje aplikacija na dijeljenim sistemskim resursima. Nadimak "Graboid", crv se proširio na više od 2,000 domaćina Dockera nesigurno i koristi zaražene hostove za miniranje kriptovalute "Monero".
Monero je hakerima omiljena kriptovaluta jer je anonimna i izuzetno je teško pratiti. Umjesto toga, bitcoin se može pratiti putem javne knjige.
Istraživači pronađena je više slika povezanih spremnikas napadom u različitim fazama lanca zaraze. Te je spremnike uklonila podrška Docker Hub-aNakon upozorenja istraživača, jedna od slika spremnika na kojoj je pokrenut CentOS pokušala se povezati s unaprijed definiranim poslužiteljima za naredbe i kontrolu (C2) kako bi preuzela i pokrenula četiri skripte ljuske.
Oni koji stoje iza Graboida identificiraju nesigurne Dockerove motore kako bi pokrenuli proces zaraze. Jednom kada se identificira ulazna točka, crv se odvija kako bi započeo putovanje.
Kada preuzimate neke skripte s naredbenog i upravljačkog poslužitelja, crv je u biti samodostatan, pokreće kriptovalute na Docker hostu zaraženi dok su tražili nove žrtve. Graboid započinje slučajnim odabirom tri potencijalna cilja za infekciju, instaliranjem crva na prvu metu i zaustavljanje rudara na drugoj, započinjući rudarenje na trećoj meti.
"Ovaj postupak dovodi do vrlo slučajnog ponašanja u rudarstvu", objasnili su danas istraživači. “Ako je moj domaćin ugrožen, zlonamjerni spremnik ne pokreće se odmah. Umjesto toga, moram pričekati dok me drugi kompromitirani domaćin ne odabere i započne moj rudarski postupak ... U osnovi, rudarom na svakom zaraženom hostu nasumično upravljaju svi drugi zaraženi domaćini.
U prosjeku je svaki rudar bio aktivan 63% vremena, a svako je razdoblje kopanja trajalo 250 sekundi, što je otežavalo otkrivanje aktivnosti, jer većina softvera za zaštitu krajnjih točaka ne pregledava podatke i aktivnosti u spremnicima.
Istraživači iz Jedinice 42 surađivali su s Dockerovim timom kako bi uklonili zlonamjerne slike spremnika, ali rizik od budućih infekcija kod inačica koje koriste slične tehnike stvaran je.
"Ako se ikad stvori moćniji crv koji će primijeniti sličan pristup infiltraciji, mogao bi nanijeti puno veću štetu, pa je nužno da organizacije zaštite svoje domaćine Dockera", upozorili su istraživači.
u blog post o Graboidu, sigurnosni istraživači nude nekoliko savjeta koji mogu pomoći u prevenciji infekcije. Unutar njih istraživači Palo Alta savjetujte tvrtkama da nikada ne izlažu svoje Dockerove demone izravno na Internet bez odgovarajuće provjere autentičnosti.
Zapravo, Docker Engine po defaultu nije izložen Internetu, pa su nesigurne implementacije koje koristi ovaj crv ručno konfigurirane da budu javno dostupne.
Drugi od savjeta koje su dali istraživači jest taj tvrtke koje koriste SSH s jakom autentifikacijom ako se trebaju daljinski povezati s Docker demonom i kombinirati ga s pravilima vatrozida koja ograničavaju veze na popis pouzdanih IP adresa.
Osim toga, preporučite administratorima da osiguraju da nikada ne raspoređuju slike spremnika Dockera iz nepouzdanih izvora na Docker Hub-u i često provjeravajte njihove implementacije Dockera kako biste uklonili nepoznate spremnike ili slike.