有史以来第一次, 研究人员发现了一种加密劫持蠕虫。 MGI Palo Alto Networ Unit 42安全调查员k公司 他们找到了 这个加密劫持蠕虫的 使用Docke容器传播河这种加密劫持蠕虫利用了软件开发人员用来在Windows和Linux平台上测试和部署应用程序的平台即服务(PaaS)解决方案。
由于docker允许应用程序在与其他Windows应用程序不同的虚拟环境中运行,因此允许开发人员在共享的系统资源上运行应用程序。 绰号 “ Graboid”,蠕虫传播到2,000多个Docker主机 不安全,并使用受感染的主机来开采“ Monero”加密货币。
门罗币(Monero)是黑客最喜欢的加密货币,因为它是匿名的并且极难追踪。 相反,可以通过公共分类账追踪比特币。
研究人员 找到相关容器的多个图像在感染链的不同阶段受到攻击。 这些容器已被Docker Hub支持删除在受到研究人员的警告之后,运行CentOS的容器映像之一试图连接到预定义的命令和控制(C2)服务器,以下载并运行四个Shell脚本。
Graboid背后的人识别出不安全的Docker引擎以启动感染过程。 一旦确定了入口点,蠕虫就会展开以开始其旅程。
从命令和控制服务器下载一些脚本时, 该蠕虫本质上是自给自足的,它在Docker主机上启动加密货币 在寻找新的受害者时被感染。 Graboid首先从随机选择三个潜在的感染目标开始,然后将蠕虫安装在第一个目标上,然后将矿工停止在第二个目标上,然后在第三个目标上开始挖掘。
研究人员今天解释说:“这种程序导致非常随机的采矿行为。” “如果我的主机受到威胁,则恶意容器不会立即启动。 取而代之的是,我必须等到另一台受到感染的主机选择我并开始我的挖掘过程为止……本质上,每台受感染主机上的矿工均由所有其他受感染主机随机控制。
平均而言,每个矿工有63%的时间处于活动状态,每个采矿期持续250秒,由于大多数端点保护软件不检查容器中的数据和活动,因此很难检测到活动。
Unit 42的研究人员与Docker团队合作,删除了恶意容器映像,但是使用类似技术的变体将来感染病毒的风险确实存在。
研究人员告诫说:“如果制造出功能更强大的蠕虫来采取类似的渗透方法,它可能造成更大的破坏,因此组织必须保护其Docker主机,这是当务之急。”
在 关于Graboid的博客文章, 安全研究人员提供一些建议 可以帮助防止感染。 在其中,帕洛阿尔托(Palo Alto)研究人员 建议公司不要直接公开其Docker守护程序 在没有适当身份验证的情况下访问Internet。
实际上,默认情况下,Docker Engine不会暴露于Internet,因此,该蠕虫利用的不安全实现已被手动配置为公开可用。
其他 研究人员给出的建议是 使用SSH进行强身份验证的公司 如果他们需要远程连接到Docker守护程序并将其与将连接限制到受信任IP地址列表的防火墙规则结合使用。
另外, 建议管理员确保他们永远不要部署来自不受信任来源的Docker容器映像 在Docker Hub上运行,并经常检查其Docker实施以删除未知的容器或映像。