包含加密货币支持恶意软件的多种Docker镜像,已经由Docker Hub大量扩散


如今,通过Docker对软件应用程序进行打包与部署已经成为新的潮流。但恶意攻击者也借此机会快速行动,针对暴露在公共互联网上的API端点开发包含恶意软件的镜像,借此实施分布式拒绝服务(DDoS)攻击与加密货币挖掘。



根据Palo Alto Networks公司Unit 42威胁情报团队发布的报告,这类Docker镜像的作用是通过Docker容器部署加密货币采矿程序,并通过Docker Hub存储库大肆传播此类镜像以牟取利益。



Unit 42的研究人员们表示,“Docker容器确实是一种便捷高效的软件打包方法,并得到越来越用户的广泛使用。但恶意攻击者向镜像当中添加加密货币挖掘代码,将采矿恶意软件轻松随镜像发布到各类支持Docker的设备,进而劫持计算资源以赚取加密货币。”



Docker是一种面向Linux与Windows的强大平台即服务(PaaS)解决方案,开发人员可以借此部署、测试并打包自己的应用程序,通过一套容器化虚拟环境将服务本体与运行所在的主机系统隔离开来。

此次被发现的Docker Hub账户名为“azurenql”,其中包含8个存储库,其中托管有6种用于挖掘门罗币(一种强调用户隐私保护的加密货币)的恶意镜像。



恶意软件的作者使用Python脚本触发加密货币劫持操作,并使用ProxyChains与Tor等网络匿名工具逃避网络检测。



接下来,镜像中的加密货币采矿代码就会使用受感染系统的计算资源进行货币挖掘。

1.png


自2019年10月以来,托管在该账户上的镜像已被pull出达200万次,其中一个钱包ID则成功赚取到超过525.38枚门罗币(折合36000美元)。


DDoS恶意软件将矛头指向暴露在外的Docker服务器。

无独有偶,Trend Micro公司的研究人员们在一项新的大规模网络扫描中,发现各类未受保护的Docker服务器往往受到至少两种不同类型恶意软件(XOR DDoS与Kaiji)的侵扰,攻击者能够借此收集系统信息并发动DDoS攻击。



研究人员们指出,“攻击者通常会扫描出开放的Secure Shell(SSH)与Telnet端口,而后使用僵尸网络进行暴力攻击。现在,他们开始通过公开端口2375搜索各类Docker服务器。”



值得注意的是,XOR DDoS与Kaiji都属于Linux系统上的木马程序,同时也是相当知名的DDoS攻击工具。其中Kaiji完全由Go语言编写而成,可通过SSH暴力攻击打垮各类物联网设备。



而XOR DDoS恶意软件则有自己的绝招:它会首先搜索包含公开Docker API端口的主机,而后发出命令以列出目标服务器上托管的所有容器,最后再使用XOR DDoS恶意软件将其破坏。

同样的,Kaiji恶意软件会通过互联网扫描公开端口2375的主机,并向其中部署用于执行Kaiji二进制文件的恶意ARM容器(「linux_arm」)。



研究人员们表示,“当XOR DDoS攻击渗透到Docker服务器并感染了其中托管的所有容器之后,Kaiji会快速跟上,向目标部署包含DDoS恶意软件的容器。”需要强调的是,这两种恶意软件还各自拥有多种存在一定区别的变体。



再有,这两种恶意软件都会收集多项详细信息,例如域名、网络速度、当前运行中进程的标识符以及发起DDoS攻击所需要的CPU及网络信息。


研究人员们总结称,“各恶意软件变种背后的攻击者显然在不断进行新的功能升级,借此对更多其他入口点发动攻击。”



“由于云端部署流程非常简单,Docker服务器正在各类企业当中成为愈发重要的主流软件部署选项。但也正因为如此,它们也开始成为网络犯罪分子眼中极具吸引力的攻击目标。”


研究人员们建议称,各位运行Docker实例的用户及组织应立即检查其中是否存在向互联网开放的API端点。如果存在,请立即关闭端口并检查当前部署是否符合安全最佳实践

原文链接:Docker Images Containing Cryptojacking Malware Distributed via Docker Hub

0 个评论

要回复文章请先登录注册