随着Docker作为打包和部署软件应用程序的服务而日益流行,恶意参与者正在利用机会来针对暴露的API端点并制作出受恶意软件感染的映像,以促进分布式拒绝服务(DDoS)攻击和挖掘加密货币。
根据Palo Alto Networks的Unit 42威胁情报团队发布的报告,这些Docker映像的目的是通过使用Docker容器部署加密货币矿工并利用Docker Hub存储库分发这些映像来筹集资金。
Unit 42 研究人员说: “ Docker容器为打包软件提供了一种便捷的方式,这可以通过采用率的提高来证明。”。“这与硬币挖掘技术相结合,使恶意行为者可以轻松地将其图像分发到任何支持Docker的机器,并立即开始使用其计算资源进行加密劫持。”
Docker是一个著名的Linux和Windows平台即服务(PaaS)解决方案,它使开发人员可以在包含的虚拟环境中部署,测试和打包其应用程序,从而将服务与主机系统隔离开来。他们继续前进。
现在被删除的Docker Hub帐户名为“ azurenql”,由八个存储库组成,这些存储库托管六个恶意图像,这些图像可以挖掘Monero(一种注重隐私的加密货币)。
这些图像后面的恶意软件作者使用Python脚本触发了密码劫持操作,并利用了ProxyChains和Tor等网络匿名工具来逃避网络检测。
然后,图像中的硬币挖掘代码利用了受感染系统的处理能力来挖掘区块。
自2019年10月活动开始以来,此帐户上托管的图像已被集体拉出200万次,其中一个钱包ID用来赚取超过525.38 XMR(36,000美元)。
针对DDoS恶意软件的公开Docker服务器
那不是全部。在趋势科技研究人员发现的一项新的大规模扫描操作中,未受保护的Docker服务器受到至少两种不同类型的恶意软件(XOR DDoS和Kaiji)的攻击,以收集系统信息并进行DDoS攻击。
研究人员说:“攻击者通常在扫描开放的Secure Shell(SSH)和Telnet端口后使用僵尸网络进行暴力攻击。” “现在,他们还正在搜索具有公开端口(2375)的Docker服务器。”
值得注意的是,XOR DDoS和Kaiji都是Linux特洛伊木马,以其能够进行DDoS攻击而著称,后者完全使用Go编程语言从头开始编写,以通过SSH蛮力攻击来瞄准IoT设备。
XOR DDoS恶意软件菌株的工作方式是:搜索具有暴露的Docker API端口的主机,然后发送命令以列出目标服务器上托管的所有容器,然后用XORDDoS恶意软件破坏它们。
同样,Kaiji恶意软件会在Internet上扫描端口2375暴露的主机,以部署执行Kaiji二进制文件的恶意ARM容器(“ linux_arm”)。
研究人员说:“当XOR DDoS攻击渗透到Docker服务器以感染其上托管的所有容器时,Kaiji攻击将部署自己的容器来容纳其DDoS恶意软件,”研究人员指出,这两种恶意软件变体之间存在差异。
此外,这两种恶意软件都收集详细信息,例如域名,网络速度,正在运行的进程的进程标识符以及发起DDoS攻击所需的CPU和网络信息。
研究人员总结说:“恶意软件变种背后的威胁行为者会不断使用新功能升级其创作,以便他们可以对其他入口点进行攻击。”
“由于它们相对易于在云中部署,因此Docker服务器正成为公司越来越受欢迎的选择。但是,这些也使它们成为不断寻求可利用系统的网络犯罪分子的诱人目标。”
建议运行Docker实例的用户和组织立即检查它们是否在Internet上公开API端点,关闭端口以及是否遵循推荐的最佳实践。
*编译:Domino
*来自:thehackernews