especialistas Palo Alto Networks ter descoberto o estranho sem-fim-jacking cripto Graboid, que se propaga através dos recipientes do mecanismo de encaixe (Edição da comunidade).
Through um motor de busca Shodan, pesquisadores da Palo Alto Networks descobriu sobre 2,000 Motor Docker inseguro (Edição da comunidade) instalações à disposição de todos na Internet. Graboid parasita neles."Unidade 42 pesquisadores identificaram um novo worm cryptojacking temos chamado Graboid que se espalhou para mais de 2,000 anfitriões Docker inseguros. Nós deriva o nome, pagando homenagem ao filme “da década de 1990tremores”, desde que este worm se comporta de forma semelhante aos vermes da areia no filme, na medida em que se move em rajadas curtas de velocidade, mas em geral é relativamente inepto”, - especialistas Palo Alto Networks relatório.
Malware, projetado para minar o monero criptomoeda, de vez em quando carrega uma lista de hosts vulneráveis (Mais que 2000 endereços IP a partir do servidor de controle, o que indica que os atacantes já compilou uma lista de possíveis alvos) e escolhe aleatoriamente um alvo.
Depois de penetrar o sistema alvo, as questões atacante comandos remoto para baixar o pocosow Docker / imagem centos do Docker Hub e implanta-lo. Esta imagem contém o cliente Docker, que é usado para se comunicar com outros hosts Docker.
Leia também: Casbaneiro bancário Trojan usado YouTube para roubar criptomoeda
A atividade de mineração é realizada através de um recipiente separado “gakeaws / nginx”, que se apresenta como um servidor web nginx. Estes recipientes foram baixados milhares de vezes: pocosow / centos tem mais de 10,000 Transferências, e gakeaws / nginx é por aí 6,500.
Além disso, “pocosow / centos”é usado para baixar quatro scripts do servidor de gerenciamento e executá-los:
- live.sh: transfere informações sobre os processadores disponíveis em um host comprometido;
- worm.sh: download de uma lista de hosts vulneráveis, seleciona novos alvos e implanta “pocosow / centos”neles;
- cleanxmr.sh: pára de mineração em um host aleatório;
- xmr.sh: seleciona um endereço aleatório da lista de hosts vulneráveis e implanta os “gakeaws / nginx”container lá.
Os investigadores escrevem que Graboid recebe comandos do 15 hosts comprometidos, 14 dos quais estão na lista de endereços IP vulneráveis. Um deles tem mais de 50 vulnerabilidades conhecidas, e os especialistas acreditam que o operador Graboid comprometida estas máquinas especificamente para controlar o seu malwares.
Ao mesmo tempo, analistas acreditam que Graboid não funciona exatamente como o seu autor pretendia.
“Durante cada iteração, Graboid seleciona aleatoriamente três metas para si mesmo. Ele define o worm no primeiro alvo, pára o mineiro no segundo alvo e lança o mineiro no terceiro alvo. como um resultado, comportamento do mineiro é errática”, – escrever pesquisadores da Palo Alto Networks.
O fato é que, na média, cada mineiro é activa 63% do tempo, enquanto a sessão de mineração é única 250 segundos. As possíveis razões para esse comportamento estranho pode ser uma má concepção do malvari, ou não tentativas muito eficazes para passar despercebida. Ao mesmo tempo, o mineiro não mesmo de começar em hosts infectados imediatamente após a instalação.
Contudo, se alguma vez um worm mais poderoso é criado usando uma abordagem semelhante à penetração, ele pode fazer muito mais danos, para que as organizações precisam proteger seus anfitriões Docker.
Recomendações para organizações para ajudar a impedir de ser comprometida:
- Nunca exponha um daemon janela de encaixe à internet sem um mecanismo de autenticação adequado. Observe que, por padrão, o motor Docker (CE) Não é exposto à internet.
- Use socket Unix para se comunicar com Docker daemon localmente ou usar SSH para conectar a um servidor remoto docker.
- Use regras de firewall para whitelist o tráfego de entrada para um pequeno conjunto de fontes.
- Nunca puxe imagens Docker de registros desconhecidos ou namespaces usuário desconhecido.
- Verifique frequentemente para quaisquer recipientes desconhecidos ou imagens no sistema.
- soluções de segurança na nuvem, como Prisma Nuvem ou Twistlock pode identificar recipientes maliciosos e evitar atividades cryptojacking.
