Palo Alto Networks eksperter har opdaget den mærkelige krypto-jacking orm Graboid, som spredes gennem beholderne i Docker Engine (Community Edition).
Through en Shodan søgemaskine, forskere på Palo Alto Networks opdaget i løbet af 2,000 usikre Docker Engine (Community Edition) installationer tilgængelige for alle på internettet. Graboid parasiterer på dem."Enhed 42 forskere identificeret en ny cryptojacking orm vi har navngivet Graboid, der er spredt sig til mere end 2,000 usikrede Docker værter. Vi stammer navnet ved at betale hyldest til 1990'erne filmen ”rystelser”, da denne orm opfører sig på samme måde som de sandworms i filmen, ved, at den bevæger sig i korte byger af hastighed, men generelt er forholdsvis uduelig”, - rapport Palo Alto Networks specialister.
Malware, designet til minedrift Monero cryptocurrency, fra tid til anden indlæser en liste over sårbare værter (Mere end 2000 IP-adresser fra kontrol-server, hvilket indikerer, at angriberne allerede har udarbejdet en liste over mulige mål) og tilfældigt vælger et mål.
Efter at trænge målsystemet, angriberen spørgsmål fjernkommandoerne at downloade Docker pocosow / CentOS billede fra Docker Hub og udruller det. Dette billede indeholder Docker klient, som anvendes til at kommunikere med andre Docker værter.
Læs også: Casbaneiro bank Trojan brugt YouTube til at stjæle cryptocurrency
Minedrift aktivitet udøves gennem en separat beholder “gakeaws / nginx”, der udgør som en nginx webserver. Disse beholdere er blevet downloadet tusindvis af gange: pocosow / CentOS har mere end 10,000 Downloads, og gakeaws / nginx er rundt om 6,500.
Derudover, ”pocosow / CentOS”anvendes til at hente fire scripts fra ledelsen serveren og udføre dem:
- live.sh: overfører oplysninger om tilgængelige processorer på en kompromitteret vært;
- worm.sh: henter en liste over sårbare værter, udvælger nye mål og udruller ”pocosow / CentOS”på dem;
- cleanxmr.sh: stopper minedrift på en tilfældig vært;
- xmr.sh: vælger en tilfældig adresse på listen over sårbare værter og anvender de ”gakeaws / Nginx”beholder der.
Forskere skriver, at Graboid modtager kommandoer fra 15 kompromitterede værter, 14 af dem er på listen over udsatte IP-adresser. En af dem har mere end 50 kendte sårbarheder, og eksperter mener, at Graboid operatør kompromitteret disse værter specifikt at styre dens malware.
På samme tid, analytikere mener, at Graboid ikke virker præcis som forfatteren hensigten.
”Under hver iteration, Graboid tilfældigt udvælger tre mål for sig selv. Han sætter ormen på den første mål, standser minearbejder på det andet mål og lancerer minearbejder på tredje mål. Som resultat, minearbejder adfærd er uregelmæssig”, – skrive forskere ved Palo Alto Networks.
Faktum er, at, gennemsnitlig, hver minearbejder er aktiv 63% af tiden, mens minedrift session er kun 250 sekunder. Mulige årsager til denne mærkelige adfærd kan være et dårligt design af malvari, eller ikke alt for effektive forsøg på at gå ubemærket hen. På samme tid, minearbejder ikke engang starte på inficerede værter umiddelbart efter installation.
imidlertid, hvis nogensinde en mere kraftfuld orm er skabt ved hjælp af en lignende tilgang til penetration, det kan gøre meget mere skade, så organisationer har brug for at beskytte deres Docker værter.
Anbefalinger til organisationer for at hjælpe med at forhindre at blive kompromitteret:
- Udsæt aldrig en havnearbejder dæmon til internettet uden en ordentlig autentificeringsmekanisme. Bemærk, at som standard Docker Engine (EF) ikke udsættes for internettet.
- Bruge Unix sokkel til at kommunikere med Docker dæmonen lokalt eller bruge SSH til forbindelse til en ekstern havnearbeider daemon.
- Brug firewall regler at whiteliste den indgående trafik til et lille sæt af kilder.
- Træk aldrig Docker billeder fra ukendte registre eller ukendte bruger navnerum.
- Ofte kontrollere for eventuelle ukendte beholdere eller billeder i systemet.
- Cloud sikkerhedsløsninger såsom Prisma Cloud eller drejelås kan identificere ondsindede containere og forebygge cryptojacking aktiviteter.
