fbpx

Главная / безопасность / Graboid: На хостах Docker обнаружен новый криптографический червь

Graboid: На хостах Docker обнаружен новый криптографический червь

by Teo Ehc Оставить комментарий

Исследователи из Unit 42 представили нового криптографического червя под названием «Graboid» и распространили его на незащищенные хосты Docker 2000.

Подробнее о черве

Исследователи отмечают, что Graboid является первым вирусом крипто-взлома, распространяющимся с использованием контейнеров в Docker Engine.

  • Злоумышленники, стоящие за Graboid, впервые прошли через незастрахованные хосты Docker, где впервые был установлен образ Docker.
  • После этого вирус для крипто-взлома разрабатывается для майнинга в Monero.
  • Между тем, червь периодически проверяет новые уязвимые серверы с сервера C & C и случайным образом выбирает следующую цель.

криптовалютный червь

Образ докера 'pocosow / centos' содержит инструмент клиента докера, используемый для связи с другими хостами Docker. Кроме того, «pocosow / centos» используется для λήψη набор из четырех сценариев от C & C сервер и их исполнение.

Сценарии четырех сценариев включают в себя:

  • 'Live.sh' - этот сценарий оболочки отправляет число процессоров, доступных для скомпрометированного хоста на сервере C & C.
  • Worm.sh '- этот сценарий оболочки загружает файл «IP», содержащий список IP-адресов 2000 +, выбирает случайную цель IP и использует инструмент докера для удаленного извлечения и развертывания контейнера POSOSOW / centos.
  • 'cleanxmr.sh' - этот сценарий останавливает криптовалютные контейнеры и другие контейнеры на основе xmrig в целевой системе.
  • 'xmr.sh' - выбирает случайные уязвимости компьютеры из файла IP и преобразует образ gakeaws / nginx на целевой сервер.

Исследователи отметили, что образ докера «pocosow / centos» загружался более 10.000 раз, а «gakeaws / nginx» загружался более 6.500 раз.

Стоит отметить

  • Исследователи пришли к выводу, что червь занял около 60 минут, чтобы добраться до всех уязвимых хостов 1.400.
  • В среднем, почти всегда есть активные майнеры 900.
  • В среднем каждый шахтер 63% времени активно, и каждый период майнинга длится в течение 250 секунд.

Рекомендации исследователей

  • Исследователи рекомендуют организациям никогда не показывать демону докера интернет без аутентификации.
  • Они предлагают организациям периодически проверять наличие неизвестных контейнеров или фотографии в системе.
  • Всегда лучше использовать слот Unix для локальной связи с демоном Docker или использовать SSH для подключения к удаленному демону.
  • Рекомендуется использовать правила брандмауэра для маркировки входящего трафика в небольшом наборе источников.

«Несмотря на то, что этот криптографический вирус не содержит сложных тактик, методов или процедур, червь может периодически извлекать новые сценарии из C2, чтобы его можно было легко преобразовать в вымогателей или что угодно вредоносное ПО чтобы полностью подорвать хозяев на линии. Если создан более сильный червь, чтобы следовать аналогичному подходу проникновение, может привести к гораздо большему потерипоэтому организациям необходимо защищать хосты Docker », - заключили исследователи.

Насколько полезным был этот пост?

Средний рейтинг / 5. Подсчет голосов:

Пока нет голосов! Будьте первым, кто оценит этот пост.

Поделиться
У вас есть мнение? Оставьте свой комментарий.

Автор позволяет вам копировать его / ее текст, только если вы сообщите источник (SecNews.gr), как адрес электронной почты (Живой URL) статьи.
Обновление by Teo Ehc
Teo Ehc

О Нас Teo Ehc

БУДЬТЕ ОГРАНИЧЕННЫМ ИЗДАНИЕМ.

Читатель взаимодействий

Политика комментариев:

SecNews.gr не сразу публикует комментарии. Вредоносные комментарии, комментарии с рекламой или комментарии с оскорблениями удаляются без предупреждения. Мы не поддерживаем взгляды наших читателей.

Αφήστε μια απάντηση

Ваш адрес электронной почты не опубликован. Τα υποχρεωτικά πεδία σημειώνονται με *

el Greek
ar ArabicZH-CN Chinese (Simplified)en Englishfr Frenchde Germanel Greekit Italianru Russian