Graboid gruvedrift orm spres gjennom Docker beholdere

Palo Alto Networks eksperter har oppdaget den merkelige krypto-jacking orm Graboid, som spres gjennom beholderne i Docker Engine (Community Edition).

Through en Shodan søkemotor, forskere ved Palo Alto Networks oppdaget i løpet av 2,000 usikre Docker Engine (Community Edition) installasjoner tilgjengelig for alle på internett. Graboid parasitizes på dem.

"Enhet 42 forskere identifisert en ny cryptojacking orm vi har kalt Graboid som er spredt til mer enn 2,000 usikrede Docker verter. Vi hentet navnet ved å betale hyllest til 1990-filmen “tremors”, siden denne ormen oppfører seg på samme måte som de sandworms i filmen, ved at den beveger seg i små pakker med hastighet, men samlet er relativt udugelig”, - Rapporten Palo Alto Networks spesialister.

Tremors Series Skjermbilde
Tremors Series Skjermbilde

malware, utformet for gruvedrift Monero kryptovaluta, fra tid til annen laster en liste over sårbare verter (Mer enn 2000 IP-adresser fra kontrollserveren, noe som indikerer at angriperne har allerede samlet en liste over mulige mål) og tilfeldig velger et mål.

Etter gjennomtrengning av målet systemet, angriperen problemer fjernkommandoer for å laste ned Docker pocosow / CentOS bilde fra Docker Hub og distribuerer det. Dette bildet inneholder Docker klient, som brukes til å kommunisere med andre Docker verter.

Les også: Casbaneiro banktjenester Trojan brukt YouTube til å stjele kryptovaluta

Gruveaktivitet foregår gjennom en separat beholder “gakeaws / Nginx”, som utgjør som et Nginx webserver. Disse beholderne er lastet ned tusenvis av ganger: pocosow / CentOS har mer enn 10,000 nedlastinger, Og gakeaws / Nginx er rundt 6,500.

Dess, “pocosow / CentOS”brukes til å laste ned fire skript fra ledelsen serveren og kjøre dem:

  • live.sh: overfører informasjon om tilgjengelige prosessorer på en nedsatt verts;
  • worm.sh: laster ned en liste over sårbare verter, velger nye mål og distribuerer “pocosow / CentOS”på dem;
  • cleanxmr.sh: stopper gruvedrift på en tilfeldig verts;
  • xmr.sh: velger en tilfeldig adresse fra listen over sårbare verter og distribuerer de “gakeaws / Nginx”container der.

Forskere skriver at Graboid mottar kommandoer fra 15 kompromitterte verter, 14 som er på listen over sårbare IP-adresser. En av dem har mer enn 50 kjente sårbarheter, og eksperter mener at Graboid operatør kompromittert disse vertene spesielt for å kontrollere sin malware.

Samtidig, analytikere tror at Graboid virker ikke akkurat som sin forfatter ment.

“Under hver iterasjon, Graboid velger tilfeldig tre mål for seg selv. Han setter ormen på første målet, stopper miner på den andre mål og starter miner på den tredje mål. Som et resultat, miner oppførsel er uberegnelig”, – skrive forskere ved Palo Alto Networks.

Faktum er at, gjennomsnittlig, hver miner er aktive 63% av tiden, mens gruve økten er bare 250 sekunder. Mulige årsaker til dette merkelige oppførsel kan være et dårlig design av malvari, eller ikke så effektive forsøk på å gå ubemerket. Samtidig, gruvearbeideren ikke engang begynne på infiserte verter umiddelbart etter installasjon.

derimot, hvis noen gang en kraftigere orm er opprettet ved hjelp av en lignende tilnærming til penetrasjon, det kan gjøre mye mer skade, slik at organisasjoner trenger for å beskytte sine Docker verter.

Anbefalinger for organisasjoner for å hindre fra å bli kompromittert:

  • Aldri utsettes for en havnearbeider nisse til Internett uten en skikkelig autentiseringsmekanisme. Vær oppmerksom på at som standard Docker Engine (EC) ikke utsettes for internett.
  • Bruk Unix-kontakten for å kommunisere med Docker nissen lokalt eller bruke SSH for å koble til en ekstern havnearbeider nissen.
  • Bruk brannmurregler å godkjenne den innkommende trafikk til et lite sett med kilder.
  • Trekk aldri Docker bilder fra ukjente registre eller ukjent bruker navnerom.
  • Ofte se etter eventuelle ukjente beholdere eller bilder i systemet.
  • Cloud Security løsninger som Prisma Cloud eller låseanordning kan identifisere ondsinnede beholdere og hindre cryptojacking aktiviteter.

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

Legg igjen et svar

Tilbake til toppen-knappen