人
已阅读
已阅读
加密蠕虫感染暴露的DOCKER部署
作者:无极4平台 来源:无极4平台 发布时间:2019-10-17
攻击者正在利用Docker引擎部署来在服务器上部署和运行加密恶意软件,无极4注册网站这些部署暴露在互联网上,没有经过身份验证。一个新的具有自我传播能力的加密僵尸网络已经感染了2000多个Docker部署。
来自帕洛阿尔托网络公司的研究人员在今天发布的一份报告中说:“已经发生了以蠕虫形式传播密码劫持恶意软件的事件,但这是我们第一次在Docker引擎(社区版)中看到使用容器进行传播的密码劫持蠕虫。”“因为大多数传统的端点保护软件不检查容器内的数据和活动,所以很难检测到这种类型的恶意活动。”
一个有着不寻常行为的僵尸网络
这个新蠕虫被命名为Graboid,并由Docker Hub发布,这是一个Docker容器映像的公共存储库。攻击者将带有恶意脚本的图像上传到Docker Hub,这些脚本在执行时将恶意软件部署到其他不安全的服务器上。
研究人员在感染链的不同阶段发现了一些与攻击相关的容器图像。在Docker集线器维护者收到滥用通知后,它们已被删除。
其中一个映像是基于CentOS的,无极4平台不错其目的是连接到预定义的命令和控制(C2)服务器,以下载和执行四个shell脚本。它还包含一个Docker客户机,用于向公开的Docker守护进程发送命令。
C2服务器提供的一个脚本收集有关受破坏环境的详细信息,比如可用cpu的数量,然后将信息发送回攻击者。另一个脚本下载了2000多个与不安全的Docker API端点对应的IP地址列表,随机选择其中一个并使用Docker客户端连接到它,并从Docker Hub部署相同的流氓容器映像,从而实现自传播。
第三个脚本随机连接到列表中脆弱的Docker主机之一,并部署了来自Docker Hub的第二个映像,其中包含伪装成nginx web服务器或MySQL数据库服务器的Xmrig二进制文件。Xmrig是一个使用cpu挖掘加密货币的开源应用程序。在Graboid的例子中,它被配置为开采Monero。
最后,第四个脚本在计时器上运行,再次随机连接到列表中的一个IP地址,并停止Xmrig挖掘容器,包括僵尸网络本身部署的容器。这意味着每个服务器上的挖掘活动不是连续的,僵尸网络不断地更新主机并启动和停止挖掘容器。
研究人员说:“从本质上讲,每一个感染宿主上的矿工都是由所有其他感染宿主随机控制的。”“这种随机化设计的动机尚不清楚。它可能是一个糟糕的设计,一种逃避技术(不是很有效),一个自我维持的系统或其他一些目的。”
根据他们的分析,研究人员估计,无极4平台信誉怎么样每一个受感染的宿主上的采矿活动平均间隔250秒,每个矿工只有65%的时间是活跃的,这不是很有效。
也就是说,用于蠕虫传播的恶意图片被下载超过10,000次,而Xmrig二进制文件的图片被下载超过6,500次。根据该蠕虫目标列表中的IP地址,大约60%的Docker攻击部署在中国,13%在美国,其余在其他国家
保护Docker部署
研究人员表示:“尽管这种密码窃取蠕虫不涉及复杂的战术、技术或程序,但它可以周期性地从C2s中提取新的脚本,因此它可以很容易地将自己重新定位为勒索软件或任何恶意软件,彻底地攻击主机,不应该被忽视。”“如果一种更强大的蠕虫被创造出来,采用类似的渗透方式,它可能会造成更大的破坏,所以组织必须保护他们的Docker主机。”
Docker Hub是一个由志愿者维护的社区项目,所以管理起来并不容易。在过去,Backdoored容器图像被上传到存储库,花了几个月的时间才被发现和删除。
去年,Kromtech的研究人员识别了17张恶意Docker图片,这些图片已经在Docker Hub上存储了大约一年。其中一些包含部署反向shell、恶意SSH访问密钥和加密器的脚本。
帕洛阿尔托的研究人员建议,在没有适当身份验证的情况下,公司永远不要将他们的Docker守护进程直接暴露给互联网。实际上,Docker引擎在默认情况下并没有公开到internet,因此该蠕虫利用的不安全部署已经被手动配置为可公开访问。
即使Docker没有直接暴露在internet上,容器编排和API管理系统也可能暴露在internet上,这也会带来严重的风险。去年,云安全公司Lacework的一项研究发现,超过2.2万个公开暴露的容器管理仪表板,包括Kubernetes、Docker Swarm、Swagger、Mesos Marathon和Red Hat OpenShift。
帕洛阿尔托的研究人员建议公司在需要远程连接Docker守护进程时使用SSH进行强身份验证。这应该与防火墙规则相结合,这些规则将此类连接限制为仅受信任的一组IP地址。
此外,管理员应该确保他们从不在Docker Hub上部署来自不受信任的上传者的Docker容器映像,并且应该经常检查他们的Docker部署中是否存在未知的容器或映像。
