Среда, 20 января, 13:49
дома безопасность Graboid: На хостах Docker обнаружен новый криптографический червь

Graboid: На хостах Docker обнаружен новый криптографический червь

Исследователи из Unit 42 обнаружили нового червя-криптоджекинга под названием Graboid, который распространился на более чем 2000 небезопасных хостов Docker.

Подробнее о черве

Исследователи отмечают, что Graboid является первым вирусом крипто-взлома, распространяющимся с использованием контейнеров в Docker Engine.

  • Злоумышленники, стоящие за Graboid, впервые прошли через незастрахованные хосты Docker, где впервые был установлен образ Docker.
  • После этого вирус для крипто-взлома разрабатывается для майнинга в Monero.
  • Между тем червь периодически сканирует новые уязвимые серверы с C&C сервера и случайным образом выбирает следующую цель.

криптовалютный червь

Образ docker pocosow / centos содержит инструмент клиента докера, используемый для связи с другими хостами Docker. Кроме того, "pocosow / centos" используется для λήψη набор из четырех скриптов от C&C сервер и их исполнение.

Сценарии четырех сценариев включают в себя:

  • «Live.sh» - этот сценарий оболочки отправляет количество доступных процессоров скомпрометированному хосту на C&C сервере.
  • Worm.sh '- этот сценарий оболочки загружает файл «IP», содержащий список из более чем 2000 IP-адресов, выбирает случайные IP-адреса в качестве цели и использует инструмент docker для извлечения и удаленного развертывания контейнера POSOSOW / centos.
  • 'cleanxmr.sh' - этот скрипт останавливает контейнеры криптоджекинга и другие контейнеры на основе xmrig на цели.
  • 'xmr.sh' - выбирает случайные уязвимые хосты компьютеры из файла IP и преобразует образ gakeaws / nginx на целевой сервер.

Исследователи отметили, что образ докера pocosow / centos был загружен более 10.000 6.500 раз, а файл gakeaws / nginx - более XNUMX раз.

Стоит отметить

  • Исследователи пришли к выводу, что червь занял около 60 минут, чтобы добраться до всех уязвимых хостов 1.400.
  • В среднем, почти всегда есть активные майнеры 900.
  • В среднем каждый шахтер 63% времени активно, и каждый период майнинга длится в течение 250 секунд.

Рекомендации исследователей

  • Исследователи рекомендуют организациям никогда не показывать демону докера интернет без аутентификации.
  • Они предлагают организациям периодически проверять наличие неизвестных контейнеров или фотографии в системе.
  • Всегда лучше использовать слот Unix для локальной связи с демоном Docker или использовать SSH для подключения к удаленному демону.
  • Рекомендуется использовать правила брандмауэра для маркировки входящего трафика в небольшом наборе источников.

"Хотя этот вирус криптоджекинга не требует сложной тактики, техники или процедур, червь может периодически извлекать новые сценарии из C2, чтобы его можно было легко преобразовать в вымогателей или что угодно вредоносное ПО чтобы полностью подорвать хозяев на линии. Если создан более сильный червь, чтобы следовать аналогичному подходу проникновение, может привести к гораздо большему потери«Вот почему организациям необходимо защищать хосты Docker», - заключили исследователи.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Спустя несколько месяцев Джек Ма впервые появился на публике.

Джек Ма только что впервые за несколько месяцев появился на публике. Соучредитель Alibaba (BABA) появился сегодня в ...

Google: Chrome 88 будет выпущен с множеством улучшений

Google анонсировал новые функции, которые Chrome 88 получит после выпуска. Похоже, в нем будет поиск по вкладкам и ...

Интерпол: Мошенники подходят к своим жертвам в приложениях для знакомств!

Интерпол выступил с заявлением, в котором предупредил мир, что многие мошенники нацелены на пользователей приложений для знакомств и пытаются обмануть их, чтобы ...
00: 02: 05

AI: Как имитация человеческого мозга улучшает его технологии

https://www.youtube.com/watch?v=ATvc1tbYFi4 Η τεχνολογία AI έχει καταφέρει εντυπωσιακά πράγματα έως τώρα, όμως χρειάζεται μεγάλο όγκο δεδομένων προκειμένου να...

Malwarebytes: взломано хакерами CylarWinds!

Malwarebytes заявил, что он был взломан той же хакерской командой, которая якобы «ударила» софтверную компанию SolarWinds. Однако он уточнил, что ...

Ошибки в Messenger, Signal, Google Duo позволяли шпионить

Исследователь безопасности обнаружил ошибки в популярных мобильных приложениях для видеоконференцсвязи и чата, которые позволяли потенциальным злоумышленникам слышать звуки и получать ...

Трамп: американские облачные провайдеры будут регистрировать иностранных клиентов

Самый неоднозначный президент США Дональд Трамп незадолго до своего отъезда подписал указ, обязывающий ...

Tesla: ищет человека, чтобы помочь Маску справиться с жалобами в Twitter

Сообщается, что у Tesla больше нет отдела по связям с общественностью, который бы отвечал на вопросы журналистов. Однако кажется, что это необходимо ...

Китайская команда взломала кражу данных о пассажирах

Считается, что в последние годы китайская хакерская команда стоит за десятками атак на авиакомпании, чтобы ...
00: 02: 49

Создатель PUBG планирует IPO на сумму 27,2 миллиарда долларов!

https://www.youtube.com/watch?v=ZE1qwCJCXl0 Ο δημιουργός του PUBG, Kim Chang-han, σχεδιάζει IPO (Αρχική Δημόσια Προσφορά ή εισαγωγή στο χρηματιστήριο) η...