Graboid mining worm verspreidt via Docker containers

Palo Alto Networks experts hebben ontdekt het vreemde-crypto jacking worm Graboid, die zich verspreidt door de houders van de koppelvenster Engine (Community Edition).

Through een Shodan zoekmachine, onderzoekers van Palo Alto Networks ontdekt boven 2,000 onveilige Docker Engine (Community Edition) installaties voor iedereen beschikbaar op het internet. Graboid parasiteert op hen.

"Eenheid 42 identificeerden de onderzoekers een nieuwe cryptojacking worm die we hebben vernoemd Graboid dat is verspreid naar meer dan 2,000 onbeveiligde Docker hosts. We afgeleid van de naam van een eerbetoon aan de jaren 1990 film “Tremors”, omdat deze worm gedraagt ​​zich zoals de zandwormen in de film, in dat het beweegt in korte uitbarstingen van snelheid, maar over het algemeen is relatief onhandig”, - verslag van Palo Alto Networks specialisten.

Tremors Series ScreenShot
Tremors Series ScreenShot

malware, ontworpen voor de mijnbouw de Monero cryptogeld, van tijd tot tijd laadt een lijst van kwetsbare hosts (Meer dan 2000 IP-adressen van de controle-server, wat aangeeft dat de aanvallers al een lijst van mogelijke doelen hebben opgesteld) en kiest willekeurig een doelwit.

Na het penetreren van het doelsysteem, de aanvaller kwesties commando afstandsbediening om de Docker pocosow downloaden / centos afbeelding uit de Docker Hub en distribueert dit. Deze afbeelding bevat de Docker client, die wordt gebruikt om te communiceren met andere Docker hosts.

Lees ook: Casbaneiro banking Trojan gebruikt YouTube om cryptogeld stelen

Mijnbouw wordt uitgevoerd door een afzonderlijke recipiënt “gakeaws / nginx”, die zich voordoet als een nginx web server. Deze containers zijn gedownload duizenden keren: pocosow / centos heeft meer dan 10,000 downloads, En gakeaws / nginx is in de omgeving van 6,500.

Daarnaast, “pocosow / centos”wordt gebruikt om vier scripts van het management server te downloaden en uit te voeren hen:

  • live.sh: overdraagt ​​informatie over beschikbare processors op een gecompromitteerde gastheer;
  • worm.sh: downloadt een lijst van kwetsbare hosts, selecteert nieuwe targets en zet “pocosow / centos”op hen;
  • cleanxmr.sh: stopt de mijnbouw op een willekeurige gastheer;
  • xmr.sh: selecteert een willekeurig adres uit de lijst van kwetsbare hosts en zet de “gakeaws / nginx”container daar.

De onderzoekers schrijven dat Graboid ontvangt commando's van 15 gecompromitteerd hosts, 14 waarvan er op de lijst van kwetsbare IP-adressen. Een van hen heeft meer dan 50 bekende kwetsbaarheden, en deskundigen zijn van mening dat de Graboid operator gecompromitteerde deze hosts die specifiek zijn malware te controleren.

Tegelijkertijd, analisten geloven dat Graboid niet precies werkt zoals de auteur heeft bedoeld.

“Tijdens elke iteratie, Graboid selecteert willekeurig drie doelpunten voor zichzelf. Hij zet de worm op de eerste doelwit, stopt de mijnwerker op de tweede doel en lanceert de mijnwerker op de derde doel. Als gevolg, het gedrag van de mijnwerker is grillig”, – Dat schrijven onderzoekers in Palo Alto Networks.

Het feit is dat, gemiddeld, elke miner actief 63% van de tijd, terwijl de mijnbouw sessie is alleen 250 seconden. Mogelijke redenen voor dit vreemde gedrag kan een slecht ontwerp van de malvari zijn, of niet te effectief pogingen om onopgemerkt. Tegelijkertijd, de mijnwerker niet eens starten op geïnfecteerde hosts onmiddellijk na de installatie.

Echter, Als er ooit een krachtigere worm wordt gemaakt met behulp van een soortgelijke aanpak om de penetratie, het kan veel meer schade aanrichten, dus organisaties moeten hun Docker hosts te beschermen.

Aanbevelingen voor organisaties om te voorkomen dat in gevaar wordt gebracht:

  • Stel nooit een havenarbeider daemon op het internet zonder een goede authenticatie mechanisme. Merk op dat standaard de Docker Engine (EC) is niet blootgesteld aan internet.
  • Gebruik Unix socket om lokaal met Docker daemon te communiceren of gebruik SSH om verbinding met een externe havenarbeider daemon.
  • Gebruik firewall-regels om het inkomende verkeer op de witte lijst om een ​​kleine set van bronnen.
  • Trek nooit Docker beelden van onbekende registers of onbekende gebruiker namespaces.
  • Regelmatig controleren of er geen onbekende containers of afbeeldingen in het systeem.
  • Cloud security oplossingen zoals Prisma Cloud of Twistlock kunt ongewenste containers identificeren en te voorkomen cryptojacking activiteiten.

Polina Lisovskaja

Ik werk al jaren als marketingmanager en zoek graag naar interessante onderwerpen voor jou

Laat een antwoord achter

Terug naar boven knop