팔로 알토 네트워크 전문가 발견 이상한 암호 - 도둑 벌레 Graboid, 이는 도커 엔진의 용기를 통해 확산 (커뮤니티 에디션).
티Shodan 검색 엔진 hrough, 팔로 알토 네트웍스의 연구자는 이상 발견 2,000 안전하지 않은 도커 엔진 (커뮤니티 에디션) 인터넷의 모든 사용자가 사용할 수 설치. Graboid 그들에 기생."단위 42 연구진은보다 더 확산 것 우리가 Graboid 명명 한 새로운 cryptojacking 웜을 확인 2,000 안전하지 않은 도커 호스트. 우리는 1990 년의 영화 "에 경의를 표하여 이름을 파생떨림", 이 웜은 영화에 sandworms 유사하게 작동하기 때문에, 그 속도에서의 짧은 버스트로 이동, 그러나 전반적으로 "상대적으로 무능하다, - 보고서 팔로 알토 네트워크 전문가.
악성 코드, 광업을 위해 설계 Monero의 암호 화폐, 수시로 취약한 호스트 목록을로드 (이상 2000 IP는 제어 서버의 주소, 이는 공격자가 이미 가능한 대상 목록을 컴파일을 나타냅니다) 무작위 대상 선택.
타겟 시스템을 관통 한 후, 공격자 문제는 원격 부두 노동자의 pocosow를 다운로드 명령 / 도커 허브와에서 CentOS는 이미지를 배포. 이 이미지는 부두 노동자의 클라이언트를 포함하는, 다른 도커 호스트와 통신하는 데 사용되는.
또한 읽기: Casbaneiro 뱅킹 트로이 목마는 암호 화폐를 훔치기 위해 유튜브를 사용
채광 작업은 별도의 용기를 통해 수행 “gakeaws / nginx를”, 어떤이의 nginx 웹 서버로 포즈. 이 컨테이너는 수천 번 다운로드 한: pocosow / CentOS는보다 더있다 10,000 다운로드, 과 gakeaws / nginx를 이다 주위에 6,500.
또한, "pocosow / CentOS는 "이 관리 서버에서 네 개의 스크립트를 다운로드하고 실행하는 데 사용됩니다:
- live.sh: 공격받은 호스트에서 사용 가능한 프로세서에 대한 정보를 전송;
- worm.sh: 취약한 호스트의 목록을 다운로드, 새로운 목표를 선택하고 "pocosow을 배포 / 그들에 CentOS는 ";
- cleanxmr.sh: 임의의 호스트 마이닝 정지;
- xmr.sh: 취약한 호스트 목록에서 임의의 주소를 선택하고 "gakeaws을 배포 / 이 nginx를 "용기.
연구진은 Graboid로부터 명령을받는 쓰기 15 감염된 호스트, 14 그 중 취약 IP 주소 목록에있는. 그 중 하나가 더있다 50 알려진 취약점, 전문가는 Graboid 운영자가 특정의 악성 코드를 제어하기 위해이 호스트를 손상 있다고 생각.
동시에, 분석가들은 저자가 의도 한대로 Graboid 정확하게 작동하지 않습니다 믿는다.
"각 반복시, Graboid 무작위 자신을위한 세 가지 목표를 선택. 그는 첫 번째 대상에 웜을 설정, 제 2 타겟에 광부를 정지하고 제 대상 광부 출시. 결과, 광부의 행동은 "불규칙, – 팔로 알토 네트웍스에서 연구자 쓰기.
사실은이다, 평균적으로, 각 광부 활성 63% 시간의, 광산 세션이 아니라 동안 250 초. 이 이상한 행동에 대한 가능한 이유는 malvari의 가난한 디자인 될 수있다, 또는 너무 효과적인 시도는 간과하기. 동시에, 광부도 바로 설치 후 감염된 호스트에서 시작되지 않습니다.
하나, 지금까지보다 강력한 웜은 침투 유사한 접근 방식을 사용하여 생성되는 경우, 훨씬 더 많은 피해를 할 수있는, 그래서 조직은 부두 노동자 호스트를 보호해야.
조직에 대한 권장 사항이 손상되는 것을 방지하기 위해:
- 적절한 인증 메커니즘없이 인터넷에 고정 표시기 데몬을 노출시키지 마십시오. 기본 도커 엔진에 의해 그 주 (EC) 인터넷에 노출되지 않습니다.
- 원격 고정 표시기 데몬에 연결하는 로컬 도커 데몬과 통신 또는 SSH를 사용하는 유닉스 소켓을 사용하여.
- 소스의 작은 세트에 들어오는 트래픽을 허용 목록에 추가 방화벽 규칙을 사용하여.
- 알 수없는 레지스트리 또는 알 수없는 사용자 이름 공간에서 도커 이미지를 당기지 마십시오.
- 자주 시스템의 알 수없는 용기 나 이미지를 확인.
- 이러한 프리즈 클라우드 또는 Twistlock 같은 클라우드 보안 솔루션은 악성 컨테이너를 식별하고 cryptojacking 활동을 방지 할 수 있습니다.
