Graboid: На хостах Docker обнаружен новый криптографический червь

Исследователи из Unit 42 обнаружили нового червя-криптоджекинга под названием Graboid, который распространился на более чем 2000 небезопасных хостов Docker.

Подробнее о черве

Исследователи отмечают, что Graboid является первым вирусом крипто-взлома, распространяющимся с использованием контейнеров в Docker Engine.

• Злоумышленники, стоящие за Graboid, впервые прошли через незастрахованные хосты Docker, где впервые был установлен образ Docker.
• После этого вирус для крипто-взлома разрабатывается для майнинга в Monero.
• Между тем червь периодически сканирует новые уязвимые серверы с C&C сервера и случайным образом выбирает следующую цель.

Образ docker pocosow / centos содержит инструмент клиента докера, используемый для связи с другими хостами Docker. Кроме того, "pocosow / centos" используется для λήψη набор из четырех скриптов от C&C сервер и их исполнение.

Сценарии четырех сценариев включают в себя:

• «Live.sh» - этот сценарий оболочки отправляет количество доступных процессоров скомпрометированному хосту на C&C сервере.
• Worm.sh '- этот сценарий оболочки загружает файл «IP», содержащий список из более чем 2000 IP-адресов, выбирает случайные IP-адреса в качестве цели и использует инструмент docker для извлечения и удаленного развертывания контейнера POSOSOW / centos.
• 'cleanxmr.sh' - этот скрипт останавливает контейнеры криптоджекинга и другие контейнеры на основе xmrig на цели.
• 'xmr.sh' - выбирает случайные уязвимые хосты компьютеры из файла IP и преобразует образ gakeaws / nginx на целевой сервер.

Исследователи отметили, что образ докера pocosow / centos был загружен более 10.000 6.500 раз, а файл gakeaws / nginx - более XNUMX раз.

Стоит отметить

• Исследователи пришли к выводу, что червь занял около 60 минут, чтобы добраться до всех уязвимых хостов 1.400.
• В среднем, почти всегда есть активные майнеры 900.
• В среднем каждый шахтер 63% времени активно, и каждый период майнинга длится в течение 250 секунд.

Рекомендации исследователей

• Исследователи рекомендуют организациям никогда не показывать демону докера интернет без аутентификации.
• Они предлагают организациям периодически проверять наличие неизвестных контейнеров или фотографии в системе.
• Всегда лучше использовать слот Unix для локальной связи с демоном Docker или использовать SSH для подключения к удаленному демону.
• Рекомендуется использовать правила брандмауэра для маркировки входящего трафика в небольшом наборе источников.

"Хотя этот вирус криптоджекинга не требует сложной тактики, техники или процедур, червь может периодически извлекать новые сценарии из C2, чтобы его можно было легко преобразовать в вымогателей или что угодно вредоносное ПО чтобы полностью подорвать хозяев на линии. Если создан более сильный червь, чтобы следовать аналогичному подходу проникновение, может привести к гораздо большему потери«Вот почему организациям необходимо защищать хосты Docker», - заключили исследователи.