你的Docker容器可能充满了Graboid加密蠕虫

稿源：FreeBuf.COM 2019-10-18 10:42:42

Docker成为了加密劫持蠕虫Graboid目标，该蠕虫是刚刚被发现并命名的。

根据Unit 42的研究人员称，该蠕虫旨在挖掘Monero加密货币，到目前为止，已经感染了2,000多台不安全的Docker引擎（社区版）主机，这些主机正在清理中。

根据Unit 42的数据，最初的恶意Docker镜像已被下载了10,000次以上，蠕虫自身已被下载了6,500多次。管理员可以通过镜像创建历史记录，查找名为“ gakeaws / nginx”的镜像来发现感染。

攻击者通过不安全的Docker daemons获得了最初的立足点，该daemons首先安装了Docker镜像以在受感染的主机上运行。另外，攻击者无需任何身份验证或授权，即可完全控制Docker 引擎和主机。攻击者利用此入口点来部署和传播蠕虫。

一旦恶意Docker容器启动并运行，它将从15个C2服务器中的一个下载四个不同的脚本以及易受感染的主机列表。然后，它随机选择三个目标，将蠕虫安装在第一个目标上，在第二个受感染主机上停止安装挖矿，并在第三个也已被感染的目标上启动挖矿。

研究人员解释说：“这一程序导致了非常随机的挖矿行为。” “如果我的主机受到威胁，则恶意容器不会立即启动。取而代之的是，我必须等到另一位受到感染的主机选择我并开始我的挖掘过程。其他受到感染的主机也可以随机停止我的挖掘过程。本质上，每台受感染主机上的挖矿均由所有其他受感染主机随机控制。这种随机设计的动机尚不清楚。”

以下是更详细的分步操作：

1. 攻击者选择了一个不安全的Docker主机作为目标，并发送远程命令来下载和部署恶意Docker镜像pocosow / centos：7.6.1810。该镜像包含用于与其他Docker主机进行通信的Docker 客户端工具。
2. pocosow / centos容器中的入口点脚本/ var / sbin / bash从C2下载4个shell脚本，并一一执行。下载的脚本为live.sh，worm.sh，cleanxmr.sh和xmr.sh。
3. live.sh将受感染主机上的可用CPU数量发送到C2。
4. worm.sh下载文件“ IP”，其中包含2000多个IP的列表。这些IP是具有不安全docker API端点的主机。worm.sh随机选择一个IP作为目标，并使用docker客户端工具远程拉动和部署pocosow / centos容器。
5. cleanxmr.sh从IP文件中随机选择一个易受攻击的主机，然后停止目标上的cryptojacking容器。cleanxmr.sh不仅会停止蠕虫部署的密码劫持容器（gakeaws / nginx），而且还会停止其他基于xmrig的容器（如果它们正在运行）。
6. xmr.sh从IP文件中随机选择一个易受攻击的主机，然后在目标主机上部署镜像gakeaws / nginx。gakeaws / nginx包含伪装成nginx的xmrig二进制文件。

在每个受感染的主机上定期重复执行步骤1至步骤6。上一次已知的刷新间隔设置为100秒。启动pocosow / centos容器后，刷新间隔，shell脚本和IP文件都从C2下载。

在使用2000个潜在受害者池中的蠕虫进行模拟时，研究人员发现，蠕虫可以在一个小时内传播到1400个易受攻击主机中的70％。此外，每个矿工有63％的时间处于活动状态，每个挖矿期持续250秒；因此，在模拟中，在受攻击的1400个主机群集中，平均有900个矿工始终保持活跃。

虽然这种加密劫持蠕虫不涉及复杂的策略，技术或过程，但该蠕虫可以定期从C2提取新脚本，因此它可以轻松地将其自身重新用于勒索软件或任何恶意软件，以完全破坏主机，所以这不应被忽略。如果创建了一种更强大的蠕虫来采用类似的渗透方法，则可能造成更大的破坏，因此使用者必须保护其Docker主机。

以下是使用者可以防止受到攻击的措施：

1. 如果没有适当的身份验证机制，切勿将docker daemons暴露在互联网。请注意，默认情况下，Docker Engine不会暴露于互联网。
2. 使用Unix套接字在本地与Docker daemons进行通信，或者使用SSH连接到远程Docker daemons。
3. 切勿从未知注册表或未知用户名称空间中提取Docker镜像。
4. 经常检查系统中是否有未知的容器或镜像。