Впервые в истории Исследователи обнаружили червя-криптоджекинга. Пало-Альто Сеть 42 следователей службы безопасностик Inc. они сделали находку этого червя-криптоджекинга, который распространяется с использованием программных контейнеров Dockeр. Этот червь криптоджекинга использует решение «платформа как услуга» (PaaS), которое разработчики программного обеспечения используют для тестирования и развертывания приложений на платформах Windows и Linux.
Поскольку docker позволяет приложениям работать в виртуальной среде отдельно от других приложений Windows, позволяя разработчикам запускать приложения на общих системных ресурсах. По прозвищу "Graboid", червь распространился на более чем 2,000 хостов Docker. небезопасно и использует зараженные хосты для майнинга криптовалюты Monero.
Monero - любимая криптовалюта хакеров, потому что она анонимна и ее чрезвычайно сложно отследить. Скорее, биткойн можно отслеживать через публичную бухгалтерскую книгу.
Исследователи найдено несколько изображений связанных контейнеровs с атакой на разных этапах цепочки заражения. Эти контейнеры были удалены службой поддержки Docker Hub.Получив предупреждение от исследователей, один из образов контейнеров под управлением CentOS попытался подключиться к предопределенным серверам управления и контроля (C2), чтобы загрузить и запустить четыре сценария оболочки.
Те, кто стоит за Graboid, выявляют небезопасные механизмы Docker, чтобы запустить процесс заражения.. Как только точка входа определена, червь разворачивается, чтобы начать свое путешествие.
При загрузке некоторых скриптов с управляющего сервера, червь по сути самодостаточен, запускает криптовалюту на хосте Docker заражены при поиске новых жертв. Graboid начинает с случайного выбора трех потенциальных целей для заражения, установки червя на первую цель и останавливает майнер на второй цели, начиная добычу на третьей цели.
«Эта процедура приводит к очень случайному поведению майнинга», - объяснили сегодня исследователи. «Если мой хост скомпрометирован, вредоносный контейнер запустится не сразу. Вместо этого мне приходится ждать, пока другой скомпрометированный хост не выберет меня и не запустит мой процесс майнинга ... По сути, майнер на каждом зараженном хосте случайным образом контролируется всеми остальными зараженными хостами.
В среднем каждый майнер был активен 63% времени, и каждый период майнинга длился 250 секунд, что затрудняло обнаружение активности, поскольку большинство программ защиты конечных точек не проверяют данные и действия в контейнерах.
Исследователи Unit 42 работали с командой Docker над удалением образов вредоносных контейнеров, но риск заражения в будущем от вариантов, использующих аналогичные методы, вполне реальн.
«Если когда-либо будет создан более мощный червь, использующий аналогичный подход к проникновению, он может нанести гораздо больший ущерб, поэтому крайне важно, чтобы организации защищали свои хосты Docker», - предупреждают исследователи.
En la сообщение в блоге о Graboid, исследователи безопасности предлагают несколько советов это может помочь предотвратить заражение. В них исследователи Пало-Альто посоветуйте компаниям никогда не раскрывать свои демоны Docker напрямую в Интернет без надлежащей аутентификации.
Фактически, Docker Engine по умолчанию не доступен в Интернете, поэтому незащищенные развертывания, используемые этим червем, были вручную настроены для публичного доступа.
Другой из советов, данных исследователями, заключается в том, компании, использующие SSH со строгой аутентификацией если им нужно удаленно подключиться к демону Docker и объединить его с правилами брандмауэра, которые ограничивают подключения списком доверенных IP-адресов.
Кроме того, рекомендовать администраторам убедиться, что они никогда не развертывают образы контейнеров Docker из ненадежных источников. в Docker Hub и часто проверяйте их реализации Docker, чтобы удалить неизвестные контейнеры или образы.