Graboid Bergbau Wurm verbreitet sich über Docker-Container

Palo Alto Networks Experten haben entdeckt, der seltsame Krypto Aufbocken Wurm Graboid, die breitet sich durch den Behälter der Maschine Docker (Gemeinschaftsausgabe).

Turch eine Suchmaschine Shodan, Forscher in Palo Alto Networks entdeckt über 2,000 unsicherer Docker Motor (Gemeinschaftsausgabe) Anlagen für jedermann zugänglich im Internet. Graboid parasitiert auf sie.

"Einheit 42 Forscher identifizierten einen neuen cryptojacking Wurm uns Graboid haben Namen, die zu mehr verbreitet sind als 2,000 ungesicherter Docker Gastgeber. Wir abgeleitet den Namen von Hommage an die 1990er Jahre Film zahlen „Tremors“, da dieser Wurm verhält sich auf die Sandwürmer im Film ähnlich, dadurch bewegt sie sich in kurzen Sprints, aber insgesamt ist relativ ungeschickt“, - Bericht von Palo Alto Networks Spezialisten.

Tremors Series ScreenShot
Tremors Series ScreenShot

Malware, konzipiert für den Bergbau die Monero Kryptowährung, von Zeit zu Zeit lädt eine Liste der gefährdeten Hosts (Mehr als 2000 IP-Adressen von dem Steuerserver, was anzeigt, dass die Angreifer bereits eine Liste möglicher Ziele zusammengestellt) und wählt zufällig ein Ziel.

Nachdem das Zielsystem eindringende, die Angreifer gibt Befehle remote die Docker pocosow zum Download / CentOS Bild vom Docker Hub und es entfaltet. Dieses Bild enthält den Docker Client, die verwendet wird, um mit anderen Hosts zu kommunizieren Docker.

lesen Sie auch: Casbaneiro Banking-Trojaner verwendet YouTube Kryptowährung zu stehlen

Bergbau-Aktivität wird durch einen separaten Behälter durchgeführt “gakeaws / nginx”, das stellt als nginx Webserver. Diese Behälter wurden tausende Male heruntergeladen: pocosow / CentOS hat mehr als 10,000 Downloads, und gakeaws / nginx ist um 6,500.

zusätzlich, „pocosow / CentOS“wird verwendet, um vier Skripte vom Management-Server herunterladen und ausführen:

  • live.sh: überträgt Informationen über die verfügbaren Prozessoren auf einem kompromittierten Rechner;
  • worm.sh: lädt eine Liste der gefährdeten Hosts, neue Ziele auswählt und setzt „pocosow / CentOS“auf sie;
  • cleanxmr.sh: stoppt Bergbau auf einem zufälligen Host;
  • xmr.sh: wählt eine zufällige Adresse aus der Liste der gefährdeten Hosts und setzt die „gakeaws / nginx“Container dort.

Die Forscher schreiben, dass Graboid empfängt Befehle von 15 kompromittierten Rechner, 14 davon sind auf der Liste der gefährdeten IP-Adressen. Einer von ihnen hat mehr als 50 bekannte Schwachstellen, und Experten glauben, dass die Graboid Betreiber diese Hosts speziell ihre Malware zu steuern, beeinträchtigt.

Zur selben Zeit, Analysten glauben, dass Graboid nicht genau arbeiten, da der Verfasser beabsichtigt.

„Während jeder Iteration, Graboid wählt zufällig drei Ziele für sich selbst. Er setzt den Wurm auf dem ersten Ziel, stoppt den Bergmann auf dem zweiten Ziel und startet den Bergmann auf der dritten Ziel. Als Ergebnis, die Gruben Verhalten ist unberechenbar“, – schreiben die Forscher in Palo Alto Networks.

Fakt ist, dass, im Durchschnitt, jeder Miner aktiv ist 63% der ganzen Zeit, während die Bergbau-Sitzung ist nur 250 Sekunden. Mögliche Ursachen für dieses seltsame Verhalten kann ein schlechtes Design des malvari sein, oder nicht zu wirksamen Versuche unbemerkt. Zur selben Zeit, der Bergmann startet nicht selbst auf infizierten Rechnern sofort nach der Installation.

jedoch, wenn überhaupt ein mächtiger Wurm einen ähnlichen Ansatz mit dem Eindringen geschaffen, es kann viel mehr Schaden anrichten, so Organisationen benötigen, um ihren Docker Hosts zu schützen.

Empfehlungen für Organisationen verhindern zu helfen, von beeinträchtigt wird:

  • Sie niemals eine Docker-Daemon zum Internet ohne einen richtigen Authentifizierungsmechanismus aussetzen. Beachten Sie, dass standardmäßig die Docker Motor (EG) ist nicht mit dem Internet ausgesetzt.
  • Verwenden Unix Buchse mit Docker Daemon zu kommunizieren lokal oder verwenden SSH zu einem entfernten Andockfensters Daemon verbinden.
  • Verwenden Sie Firewall-Regeln, die eingehenden Datenverkehr auf eine kleine Gruppe von Quellen weiße Liste.
  • Nie Docker Bilder von unbekannten Register oder unbekannte Benutzernamespaces ziehen.
  • Überprüfen Sie regelmäßig, für alle unbekannten Container oder Bilder im System.
  • Cloud-Sicherheitslösungen wie Prisma Cloud oder Twistlock können böswillige Behälter identifizieren und cryptojacking Aktivitäten verhindern.

Polina Lisovskaya

Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"