gusano de la minería Graboid propaga a través de los contenedores Docker

expertos Palo Alto Networks haber descubierto el extraño gusano cripto-jacking Graboid, que se propaga a través de los contenedores de la ventana acoplable Engine (Edición comunidad).

Tediante un motor de búsqueda Shodan, los investigadores de Palo Alto Redes descubrieron más de 2,000 Motor acoplable insegura (Edición comunidad) instalaciones disponibles para todos en Internet. Graboid parasita en ellos.

"Unidad 42 los investigadores identificaron un nuevo gusano cryptojacking hemos llamado Graboid que se extendió a más de 2,000 Docker anfitriones no garantizados. Derivamos el nombre con el que rinde homenaje a la película del 1990 “temblores”, ya que este gusano se comporta de manera similar a los gusanos de arena en la película, en el que se mueve en ráfagas cortas de velocidad, pero en general es relativamente inepto”, - Informe de especialistas de Palo Alto Networks.

Los temblores de la serie de ScreenShot
Los temblores de la serie de ScreenShot

Malware, diseñado para la minería de la criptomoneda monero, de vez en cuando carga una lista de hosts vulnerables (Mas que 2000 Las direcciones IP del servidor de control, lo que indica que los atacantes ya han compilado una lista de posibles objetivos) y elige aleatoriamente un objetivo.

Después de penetrar en el sistema de destino, las cuestiones atacante comandos remotos para descargar el pocosow acoplable / centos imagen desde el Hub del estibador y despliega. Esta imagen contiene el cliente acoplable, que se utiliza para comunicarse con otros hosts acoplables.

leer también: Casbaneiro troyano bancario utiliza YouTube para robar criptomoneda

La actividad minera se lleva a cabo a través de un recipiente separado “gakeaws / nginx”, el cual se hace pasar por un servidor web nginx. Estos contenedores se han descargado miles de veces: pocosow / centos tiene más de 10,000 descargas, y gakeaws / nginx es alrededor 6,500.

Adicionalmente, “pocosow / centos”se utiliza para descargar cuatro secuencias de comandos del servidor de administración y ejecutarlos:

  • live.sh: Las transferencias de información acerca de los procesadores disponibles en un host comprometido;
  • worm.sh: descarga una lista de hosts vulnerables, selecciona nuevos objetivos y despliega “pocosow / centos”en ellas;
  • cleanxmr.sh: paradas de la minería en un host aleatorio;
  • xmr.sh: selecciona una dirección de azar de la lista de hosts vulnerables y despliega los “gakeaws / nginx”contenedor hay.

Los investigadores escriben que recibe órdenes de Graboid 15 hosts comprometidos, 14 de los cuales están en la lista de direcciones IP vulnerables. Uno de ellos tiene más de 50 vulnerabilidades conocidas, y los expertos creen que el operador Graboid comprometida estos anfitriones específicamente para controlar su software malicioso.

Al mismo tiempo, Los analistas creen que Graboid no funciona exactamente como su autor pretende.

“Durante cada iteración, Graboid selecciona al azar tres metas para sí mismo. Se establece el gusano en el primer objetivo, se detiene el minero en el segundo blanco y lanza el minero en el tercer objetivo. Como resultado, el comportamiento de los mineros es errática”, – escriben los investigadores en Palo Alto Networks.

El hecho es que, de media, cada minero está activo 63% del tiempo, mientras que la sesión de la minería es solamente 250 segundos. Las posibles razones para este comportamiento extraño puede ser un mal diseño de la malvari, o no intentos demasiado eficaces para pasar desapercibidos. Al mismo tiempo, el minero ni siquiera comienza en los hosts infectados inmediatamente después de la instalación.

sin embargo, si alguna vez un más potente gusano se crea utilizando un enfoque similar a la penetración, se puede hacer mucho más daño, por lo que las organizaciones necesitan para proteger sus anfitriones Docker.

Recomendaciones para las organizaciones para ayudar a evitar que se comprometa:

  • Nunca exponga un demonio ventana acoplable a Internet sin un mecanismo de autenticación adecuado. Tenga en cuenta que por defecto el motor acoplable (CE) No se expone a internet.
  • Utilice el zócalo de Unix para comunicarse con acoplable demonio de forma local o utilizar SSH para conectarse a un servicio remoto ventana acoplable.
  • Utilice reglas de firewall a la lista blanca del tráfico de entrada a un pequeño conjunto de fuentes.
  • Nunca tire de imágenes acoplables de los registros desconocidos o espacios de nombres de usuario desconocidas.
  • comprobar con frecuencia para cualquier contenedor desconocidos o imágenes en el sistema.
  • soluciones de seguridad de la nube como la nube Prisma o de cierre giratorio pueden identificar contenedores maliciosos y prevenir las actividades cryptojacking.

Polina Lisovskaya

Trabajo como gerente de marketing desde hace años y me encanta buscar temas interesantes para ti.

Deja una respuesta

Botón volver arriba