Исследователи из Unit 42 обнаружили нового червя-криптоджекинга под названием Graboid, который распространился на более чем 2000 небезопасных хостов Docker.
Подробнее о черве
Исследователи отмечают, что Graboid является первым вирусом крипто-взлома, распространяющимся с использованием контейнеров в Docker Engine.
- Злоумышленники, стоящие за Graboid, впервые прошли через незастрахованные хосты Docker, где впервые был установлен образ Docker.
- После этого вирус для крипто-взлома разрабатывается для майнинга в Monero.
- Между тем червь периодически сканирует новые уязвимые серверы с C&C сервера и случайным образом выбирает следующую цель.
Образ docker pocosow / centos содержит инструмент клиента докера, используемый для связи с другими хостами Docker. Кроме того, "pocosow / centos" используется для λήψη набор из четырех скриптов от C&C сервер и их исполнение.
Сценарии четырех сценариев включают в себя:
- «Live.sh» - этот сценарий оболочки отправляет количество доступных процессоров скомпрометированному хосту на C&C сервере.
- Worm.sh '- этот сценарий оболочки загружает файл «IP», содержащий список из более чем 2000 IP-адресов, выбирает случайные IP-адреса в качестве цели и использует инструмент docker для извлечения и удаленного развертывания контейнера POSOSOW / centos.
- 'cleanxmr.sh' - этот скрипт останавливает контейнеры криптоджекинга и другие контейнеры на основе xmrig на цели.
- 'xmr.sh' - выбирает случайные уязвимые хосты компьютеры из файла IP и преобразует образ gakeaws / nginx на целевой сервер.
Исследователи отметили, что образ докера pocosow / centos был загружен более 10.000 6.500 раз, а файл gakeaws / nginx - более XNUMX раз.
Стоит отметить
- Исследователи пришли к выводу, что червь занял около 60 минут, чтобы добраться до всех уязвимых хостов 1.400.
- В среднем, почти всегда есть активные майнеры 900.
- В среднем каждый шахтер 63% времени активно, и каждый период майнинга длится в течение 250 секунд.
Рекомендации исследователей
- Исследователи рекомендуют организациям никогда не показывать демону докера интернет без аутентификации.
- Они предлагают организациям периодически проверять наличие неизвестных контейнеров или фотографии в системе.
- Всегда лучше использовать слот Unix для локальной связи с демоном Docker или использовать SSH для подключения к удаленному демону.
- Рекомендуется использовать правила брандмауэра для маркировки входящего трафика в небольшом наборе источников.
"Хотя этот вирус криптоджекинга не требует сложной тактики, техники или процедур, червь может периодически извлекать новые сценарии из C2, чтобы его можно было легко преобразовать в вымогателей или что угодно вредоносное ПО чтобы полностью подорвать хозяев на линии. Если создан более сильный червь, чтобы следовать аналогичному подходу проникновение, может привести к гораздо большему потери«Вот почему организациям необходимо защищать хосты Docker», - заключили исследователи.