Docker Hub 中发现了包含加密挖矿软件的 Docker Image

Docker Hub 中发现了包含加密挖矿软件的 Docker Image

随着Docker作为打包和部署软件应用程序的服务越来越流行,恶意攻击者正在利用对外暴露的API端口制作并发布感染了恶意软件的映像,用来进行分布式拒绝服务(DDoS)攻击和数字货币挖矿

根据Palo Alto Networks的Unit 42威胁情报团队发布的报告,这些Docker映像的目的是通过使用Docker容器部署数字货币矿工并利用Docker Hub来分发这些映像通过挖矿来获取收益。

Unit 42 研究人员说:Docker容器为打包软件提供了一种便捷的方式,这可以通过市场占有率的提高来证明。这与硬币挖掘相结合,使恶意行为者可以轻松地将其镜像分发到任何支持Docker的机器,并立即开始使用其计算资源进行挖取加密火币。

Docker是一个著名的Linux和Windows paas 解决方案,它使开发人员可以在包含的虚拟环境中部署,测试和打包其应用程序,从而将服务与主机系统隔离开来。他们继续前进。

现在被撤销的Docker Hub帐户名为: azurenql,由八个存储库组成,这些存储库托管六个恶意镜像,这些镜像可以挖掘 Monero(一种注重隐私的加密货币)。

这些镜像后面的恶意软件作者使用Python脚本触发加密劫持操作,并利用了ProxyChains和Tor等网络匿名工具来逃避网络检测。

Docker Hub 中发现了包含加密挖矿软件的 Docker Image

然后,镜像中的硬币挖掘代码利用了受感染系统的处理能力来挖掘区块。

自2019年10月开始以来,托管在此帐户上的镜像已被拉出200万次,其中一个钱包ID已经赚取了超过525.38 XMR(36,000美元)。

针对DDoS恶意软件的公开Docker服务器

在趋势科技研究人员发起的一项新的大规模扫描操作中,未受保护的Docker服务器受到至少两种不同类型的恶意软件(XOR DDoS和Kaiji)的攻击,以收集系统信息并进行DDoS攻击。

研究人员说:攻击者通常在扫描开放的Secure Shell(SSH)和Telnet端口后使用僵尸网络进行暴力攻击。现在,他们还正在搜索具有公开端口(2375)的Docker服务器。”

值得注意的是,XOR DDoS和Kaiji都是Linux特洛伊木马,以其能够进行DDoS攻击而著称,后者完全使用Go编程语言从头开始编写,以通过SSH蛮力攻击来瞄准IoT设备。

XOR DDoS恶意软件的工作方式是:搜索具有暴露的Docker API端口的主机,然后发送命令以列出目标服务器上托管的所有容器,然后用XOR DDoS恶意软件破坏它们。

同样,Kaiji恶意软件会在Internet上扫描端口2375暴露的主机,以部署执行Kaiji二进制文件的恶意ARM容器。

研究人员说:在XOR DDoS攻击渗透到Docker服务器以感染其上托管的所有容器的同时,Kaiji攻击部署了自己的容器来容纳其DDoS恶意软件。

此外,这两种恶意软件都收集详细信息,例如域名,网络速度,正在运行的进程的进程标识符以及发起DDoS攻击所需的CPU和网络信息。

研究人员总结说:恶意软件变种背后的威胁行为者会不断使用新功能升级其创作,以便他们可以对其他入口点进行攻击。

由于它们相对易于在云中部署,因此Docker服务器正成为公司越来越受欢迎的选择。但是,这些也使它们成为不断寻求可利用系统的网络犯罪分子的诱人目标。

建议运行Docker实例的用户和组织立即检查他们是否在Internet上公开API端口,关闭端口并检查是否遵循推荐的最佳实践。

版权声明:农夫的狗 发表于 2020-06-28 1:00:30。
转载请注明:Docker Hub 中发现了包含加密挖矿软件的 Docker Image | 404导航

暂无评论

暂无评论...