Home未分类你的Docker容器可能充满了Graboid加密蠕虫

你的Docker容器可能充满了Graboid加密蠕虫

2010 年 4 月 2 日

Docker成为了加密劫持蠕虫Graboid目标,该蠕虫是刚刚被发现并命名的。

根据Unit 42的研究人员称,该蠕虫旨在挖掘Monero加密货币,到目前为止,已经感染了2,000多台不安全的Docker引擎(社区版)主机,这些主机正在清理中。
根据Unit 42的数据,最初的恶意Docker镜像已被下载了10,000次以上,蠕虫自身已被下载了6,500多次。管理员可以通过镜像创建历史记录,查找名为“ gakeaws / nginx”的镜像来发现感染。
攻击者通过不安全的Docker daemons获得了最初的立足点,该daemons首先安装了Docker镜像以在受感染的主机上运行。另外,攻击者无需任何身份验证或授权,即可完全控制Docker 引擎和主机。攻击者利用此入口点来部署和传播蠕虫。
一旦恶意Docker容器启动并运行,它将从15个C2服务器中的一个下载四个不同的脚本以及易受感染的主机列表。然后,它随机选择三个目标,将蠕虫安装在第一个目标上,在第二个受感染主机上停止安装挖矿,并在第三个也已被感染的目标上启动挖矿。
研究人员解释说:“这一程序导致了非常随机的挖矿行为。” “如果我的主机受到威胁,则恶意容器不会立即启动。取而代之的是,我必须等到另一位受到感染的主机选择我并开始我的挖掘过程。其他受到感染的主机也可以随机停止我的挖掘过程。本质上,每台受感染主机上的挖矿均由所有其他受感染主机随机控制。这种随机设计的动机尚不清楚。”
以下是更详细的分步操作:

 1. 攻击者选择了一个不安全的Docker主机作为目标,并发送远程命令来下载和部署恶意Docker镜像pocosow / centos:7.6.1810。该镜像包含用于与其他Docker主机进行通信的Docker 客户端工具。
 2. pocosow / centos容器中的入口点脚本/ var / sbin / bash从C2下载4个shell脚本,并一一执行。下载的脚本为live.sh,worm.sh,cleanxmr.sh和xmr.sh。
 3. live.sh将受感染主机上的可用CPU数量发送到C2。
 4. worm.sh下载文件“ IP”,其中包含2000多个IP的列表。这些IP是具有不安全docker API端点的主机。worm.sh随机选择一个IP作为目标,并使用docker客户端工具远程拉动和部署pocosow / centos容器。
 5. cleanxmr.sh从IP文件中随机选择一个易受攻击的主机,然后停止目标上的cryptojacking容器。cleanxmr.sh不仅会停止蠕虫部署的密码劫持容器(gakeaws / nginx),而且还会停止其他基于xmrig的容器(如果它们正在运行)。
 6. xmr.sh从IP文件中随机选择一个易受攻击的主机,然后在目标主机上部署镜像gakeaws / nginx。gakeaws / nginx包含伪装成nginx的xmrig二进制文件。

在每个受感染的主机上定期重复执行步骤1至步骤6。上一次已知的刷新间隔设置为100秒。启动pocosow / centos容器后,刷新间隔,shell脚本和IP文件都从C2下载。
在使用2000个潜在受害者池中的蠕虫进行模拟时,研究人员发现,蠕虫可以在一个小时内传播到1400个易受攻击主机中的70%。此外,每个矿工有63%的时间处于活动状态,每个挖矿期持续250秒;因此,在模拟中,在受攻击的1400个主机群集中,平均有900个矿工始终保持活跃。
虽然这种加密劫持蠕虫不涉及复杂的策略,技术或过程,但该蠕虫可以定期从C2提取新脚本,因此它可以轻松地将其自身重新用于勒索软件或任何恶意软件,以完全破坏主机,所以这不应被忽略。如果创建了一种更强大的蠕虫来采用类似的渗透方法,则可能造成更大的破坏,因此使用者必须保护其Docker主机。
以下是使用者可以防止受到攻击的措施:

 1. 如果没有适当的身份验证机制,切勿将docker daemons暴露在互联网。请注意,默认情况下,Docker Engine不会暴露于互联网。
 2. 使用Unix套接字在本地与Docker daemons进行通信,或者使用SSH连接到远程Docker daemons。
 3. 切勿从未知注册表或未知用户名称空间中提取Docker镜像。
 4. 经常检查系统中是否有未知的容器或镜像。

相关IOC:

Docker镜像:

 pocosow / centos:7.6.1810:
 sha256:6560ddfd4b9af2c87b48ad98d93c56fbf1d7c507763e99b3d25a4d998c3f77cf
 gakeaws / nginx:8.9:
 sha256:4827767b9383215053abe6688e82981b5fbeba5d9d40070876eb7948fb73dedb
 gakeaws / mysql:
 sha256:15319b6ca1840ec2aa69ea4f41d89cdf086029e3bcab15deaaf7a85854774881

C2 服务器:

 120.27.32[.]15
 103.248.164[.]38
 101.161.223[.]254
 61.18.240[.]160
 182.16.102[.]97
 47.111.96[.]197
 106.53.85[.]204
 116.62.48[.]5
 114.67.68[.]52
 118.24.222[.]18
 106.13.127[.]6
 129.211.98[.]236
 101.37.245[.]200
 106.75.96[.]126
 47.107.191[.]137

*本文作者:Threatbook,转载请注明来自FreeBuf.COM

Related Posts

About The Author

hellowo