Palo Alto Networks (派拓网络):Docker Hub镜像中初度发明Graboid加密挖矿蠕虫病毒

时间:2021-07-08 18:37:19


作者: Palo Alto Networks(派拓网络)威胁谍报团队Unit 42

最新博文摘要如下:

Palo Alto Networks (派拓网络)威胁谍报团队Unit 42近日公布发表发明一种新型加密挖矿蠕虫病毒,已有2000多台Docker主机因掩护不力而受到传染。Unit 42将该病毒定名为Graboid,是向90年代影戏《异形魔怪》致敬,其行为与影戏中的沙虫相类似,移动速度较快但总体来讲相对鸠拙。
 
尽管也产生过以蠕虫病毒形式流传的加密挖矿恶意事件,但这是我们初度在Docker Engine(社区版)中发明借助容器流传的加密挖矿蠕虫病毒。由于大都传统端点防护软件都不检测容器内的数据和勾当,因此很难发明这一类型的恶意勾当。打击者首先通过不安适的Docker Daemon站稳脚跟,然后在受传染的主机上安置一个Docker镜像并运行。恶意软件从C2处事器上下载并部署完毕后,便开始挖矿寻找门罗币。别的,恶意软件会按期从C2处事器搜索新的带有缝隙的主机,然后随机选择下一个方针进行流传。我们的阐颁发白,挖矿病毒平均有63%的时间处于活跃状态,每个挖矿周期连续250秒。在Unit 42向Docker团队传递该情况后,Docker团队便迅速与Unit 42团队联手删除这些恶意镜像。

容器化加密挖矿蠕虫病毒
 

Palo Alto Networks (派拓网络):Docker Hub镜像中初度发明Graboid加密挖矿蠕虫病毒

图1. 加密挖矿蠕虫病毒勾当概览

 
Shodan的快速查询拜访显示,有2,000多个Docker Engine以不安适的方法袒露于互联网。无需任何身份验证或授权,打击者就可以完全控制Docker Engine(社区版)和主机。恰恰是抓住了这一入口,打击者才会部署并流传这一蠕虫病毒。图1标明了该恶意软件的分发和流传方法。打击者入侵了一个未受掩护的Docker daemon,运行从Docker Hub中提取的恶意Docker容器,从C2处事器下载一些脚本和易受打击的主机列表,并重复拔取下个方针流传蠕虫。我们称为“Graboid”的恶意软件在容器内进行蠕虫流传和加密挖矿。它在每次迭代中随机选择三个方针,在第一个方针上安置蠕虫,在第二个方针上遏制挖矿,在第三个方针上启动挖矿。这种行为导致挖矿行为极度随机。如果我的主机被入侵,恶意容器不会当即启动。相反,我必需等到另一台受传染的主机选择我的主机并启动我的挖矿过程。其他受传染的主机也可以随机遏制我的挖矿过程。从素质上讲,每台受传染主机上的挖矿措施都由所有其他受传染主机随机控制。这种随机设计的动机尚不清楚,有可能是因为设计不当,规避技术(效果欠安),自我维持的系统或其他目的。

以下为具体操纵法式:
 
1.     打击者拔取某个不安适的docker主机作为打击方针,然后长途颁布指令下载并部署恶意Docker镜像pocosow/centos:7.6.1810. 该镜像含有一个用来与其他Docker主机通信的 docker client工具
 
2.     pocosow/centos 容器中的入口脚本/var/sbin/bash会从C2处事器下载4个shell脚本并逐个运行,这4个脚天职别是live.sh, worm.sh, cleanxmr.sh, xmr.sh
 
3.     脚本live.sh将被打击主机上的可用CPU数量发送至C2处事器
 
4.     脚本worm.sh下载一个名为“IP”的文档,此中包罗2000多个IP地点。这些IP地点等于那些有着不安适的docker API端点的主机。Worm.sh随机拔取一个IP地点作为打击东西,使用docker client工具长途获取并部署pocosow/centos container容器
 
5.     脚本cleanxmr.sh随机拔取IP文件中某个带有缝隙的主机,终止其上的加密挖矿容器。cleanxmr.sh终止的不只是蠕虫部署的加密挖矿容器(gakeaws/nginx),也包罗少数处于运行状态的xmrig容器
 
6.     脚本xmr.sh随机拔取IP文件中某个带有缝隙的主机,然后将镜像gakeaws/nginx部署于方针主机之上。gakeaws/nginx含有伪装成为nginx的二进制xmrig
 
 
法式1-6每隔一段时间便会在每个受传染的主机上重复执行,刷新间隔时间设定为100秒。pocosow/centos 容器部署后,刷新间隔时间、shell脚本以及IP文档就会从C2处事器上下载。
 
在写入期间,如图2所示,Docker镜像pocosow/centos下载次数赶过10000次,而gakeaws/nginx也赶过6500次别的,我们还注意到,同一个用户(gakeaws)颁布了此外一个加密挖矿镜像gakeaws/mysql,其和gakeaws/nginx内容不异。只有在shell脚本下载并在容器内运行后,pocosow/centos镜像的不良企图才会被察觉。但通过其镜像创建历史,我们也可以轻松发明gakeaws/nginx 镜像的恶意企图。如图3所示,其只在创建时间栏(第7行)里将二进制xmrig从头定名为nginx。即便如此在创建时间里(第7行)付款地点也以硬编码的形式来应对不停变革的环境。
 
图4显示了IP地点文件中列出的2,034个易受打击的主机位置——57.4%的IP地点来自中国,其次有13%来自美国。我们还注意到,在恶意软件使用的15台C2处事器中,有14台主机列在IP地点文件中,剩下的那1台主机有50多个已知缝隙。这表白打击者可能粉碎了这些主机并将其用作C2处事器。通过对Docker daemon的控制,可以轻松部署Web处事器容器(例如httpd、nginx)并将有效负载安排其上。
 

Palo Alto Networks (派拓网络):Docker Hub镜像中初度发明Graboid加密挖矿蠕虫病毒

图2. Docker Hub上恶意Docker镜像

 

Palo Alto Networks (派拓网络):Docker Hub镜像中初度发明Graboid加密挖矿蠕虫病毒

图3. gakeaws/nginx的镜像历史

 

 

Palo Alto Networks (派拓网络):Docker Hub镜像中初度发明Graboid加密挖矿蠕虫病毒