Graboid:首例在Docker Hub映像中发明的加密挟制蠕虫 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Graboid:首例在Docker Hub映像中发明的加密挟制蠕虫

申博_安全防护 申博 164次浏览 已收录 0个评论

申博开户

申博开户是本土的一家新闻门户网站,是生活交友网站。包括区县要闻、视听、时评、论坛等多个栏目,涵盖旅游、文化、政治、美食、生活、时尚等多个领域。申博开户为本地居民提供新闻、生活便民、社交、政见表述方面的诸多便民服务功能,让圈儿随时随地讲述的那些事。

,

提要

Unit 42的研究人员发清晰明了一种名为“Graboid”的新型加密挟制蠕虫,该病毒能经由历程歹意Docker镜像流传,现已感染2,000多个Docker主机。

这也是初次发明运用Docker Engine(社区版)中的容器流传的加密挟制蠕虫。因为大多数传统的端点庇护软件都不搜检容器内的数据和运动,因而这类歹意运动能够很难检测到。

最初的立足点由攻击者经由历程不平安的Docker保卫历程取得,在保卫历程中起首装置Docker映像以在受感染的主机上运转,用于发掘加密钱银的歹意软件从C2服务器下载,歹意软件能按期从C2查询新的易受损主机,并随机挑选下一个目标流传。

剖析显现,均匀每一个矿工的运动时候为63%,每一个采矿周期延续250秒。

蠕虫病毒流传

Graboid:首例在Docker Hub映像中发明的加密挟制蠕虫

图1. 蠕虫运动概述

经由历程Shodan的疾速搜刮显现,有2,000多个Docker引擎不平安地暴露于互联网中。无需任何身份验证或受权,歹意行动者就能够完整掌握Docker Engine(CE)和主机。攻击者应用此进口点来布置和流传蠕虫。

图1说清晰明了歹意软件的分发和流传体式格局。攻击者入侵了一个不平安的docker保卫历程,运转了从Docker Hub中提取的歹意docker容器,从C2下载了一些剧本和易受攻击的主机列表,并反复挑选了下一个目标来流传。该歹意软件(我们称为“ Graboid”)在容器内部举行蠕虫流传和加密挟制。它在每次迭代中随机挑选三个目标:在第一个目标上装置蠕虫,在第二个目标上住手采矿,在第三个目标上启动采矿,此历程会致使异常随机的发掘行动。

比方我的主机被损坏,歹意容器不会马上启动,必需比及另一位遭到感染的主机挑选我并开启时才会启动,其他被入侵的主机也能够随机住手我的发掘历程。每一个受感染主机上的采集器都是由一切其他受感染主机随机掌握的,这类随机化设想的效果尚不清晰,既多是一个蹩脚的设想,也多是一种回避手艺(虽然不是很有用),或是自我坚持的体系等一些其他目标。

以下是更细致的分步操纵:

1. 攻击者挑选了一个不平安的Docker主机作为目标,向其发送长途敕令来下载和布置歹意Docker映像pocosow / centos:7.6.1810,映像文件里包括用于与其他Docker主机举行通讯的Docker客户端东西。

2. pocosow / centos容器中的进口点剧本/ var / sbin / bash从C2下载4个shell剧本,并逐一实行。下载的剧本是live.sh,worm.sh,cleanxmr.sh,xmr.sh。

3. live.sh将受感染主机上的可用CPU数目发送到C2。

4. worm.sh下载文件“ IP”,个中包括2000多个IP的列表,都是不平安docker API端点的主机。 worm.sh随机挑选一个IP作为目标,并运用docker客户端东西长途拉动和布置pocosow / centos容器。

5. cleanxmr.sh从IP文件中随机挑选一个易受攻击的主机,然后住手目标上的加密挟制容器。 cleanxmr.sh不仅会住手蠕虫布置的暗码挟制容器(gakeaws / nginx),而且还会住手其他基于xmrig的容器(假如它们正在运转)。

6. xmr.sh从IP文件中随机挑选一个易受攻击的主机,然后在目标主机上布置映像gakeaws / nginx,gakeaws / nginx包括被伪装为nginx的xmrig二进制文件。

每一个受感染的主机上按期反复实行步骤1至6。上一次已知的革新距离设置为100秒,启动pocosow / centos容器后,革新距离,shell剧本和IP文件都从C2下载。

在撰写本文时,如图2所示,Docker映像pocosow / centos已被下载凌驾10,000次,gakeaws / nginx已被下载凌驾6,500次,如图2所示。我们还注意到统一用户(gakeaws)宣布了另一个加密映像gakeaws/mysql,它的内容与gakeaws/nginx雷同。

CVE-2019-16276/11253:Kubernetes漏洞分析

Kubernetes补丁团队在周二发布了CVE-2019-16276和CVE-2019-11253漏洞的补丁。这两个漏洞在一些Kubernetes配置下非常危险,因此研究人员建议用户更新到Kubernetes 1.14.8, 1.15.5, 1.16.2版本。 CVE-2019-16276 该漏洞的根源是Go语言的标准HTTP库net/http。该库在Kubernetes中用于HTTP请求分析。其实现方式使一些无效的HTTP请求正常化,导致一些潜在的威胁。 HTTP请求是由field-name、一个冒号和对应的值组成。在HTTP/1.1规范中,在header的field-name和冒号之间是不允许有空白字符的。但net/http 库会把

pocosow/centos映像的歹意企图只要在下载shell剧本并在容器内实行以后才晓得。但是,gakeaws/nginx映像的歹意企图很轻易从它的映像构建汗青中被发明。如图3所示,它只是在构建时将xmrig二进制文件重命名为nginx(第7行),甚至在构建时将付款地点硬编码为环境变量(第6行)。

图4显现了IP文件中列出的2,034台软弱主机的位置,个中57.4%的IP源自中国,其次是美国的13%。我们还注意到,在歹意软件运用的15台C2服务器中,有14台是列在IP文件中,另一台主机有50多个已知破绽。这表明攻击者能够损坏了这些主机并将其用作C2服务器。经由历程Docker保卫历程的掌握,能够轻松地布置Web服务器容器(比方httpd,nginx)并将payload安排在个中。

 Graboid:首例在Docker Hub映像中发明的加密挟制蠕虫图2. Docker Hub上的歹意Docker映像

Graboid:首例在Docker Hub映像中发明的加密挟制蠕虫

图3. gakeaws / nginx的映像汗青记录

Graboid:首例在Docker Hub映像中发明的加密挟制蠕虫

图4. IP文件中易受攻击的主机的国度

蠕虫模仿

为了更好地相识蠕虫的有用性及其团体发掘才能,我们创建了一个简朴的Python顺序来模仿蠕虫。假定IP文件中有2,000台主机,个中30%的主机在运转时期发作毛病,革新距离为100秒,而且每台受损的主机上都有一个CPU。试验模仿了一个为期30天的运动。我们想晓得:

1. 该蠕虫须要多长时候才流传到一切易受攻击的Docker主机?

2. 这个歹意行动者具有若干发掘才能?

3. 每一个矿机在受感染的主机上坚持运动的时候是若干?

图5的左边部份显现了蠕虫流传的速率。蠕虫病毒约莫须要60分钟才抵达一切1400个易受攻击的主机(2,000多个主机中的70%);图5的右边部份显现了受感染主机的整体发掘才能——随时均匀有900名活泼矿工。换句话说,歹意行动者具有一个1,400个节点的发掘集群,具有最少900个CPU的发掘才能。因为受感染主机上的矿工能够随机启动和住手,因而每一个矿工仅在65%的时候内处于运动状况,每一个采矿周期均匀仅延续250秒。 Graboid:首例在Docker Hub映像中发明的加密挟制蠕虫

图5.蠕虫模仿

结论

虽然这类暗码盗取蠕虫不触及庞杂的战术、手艺或历程,但它能够周期性地从C2中提取新的剧本,因而它能够很轻易地将本身从新定位为讹诈软件或任何歹意软件,从而彻底地损坏主机。假如一个更壮大的蠕虫被制造出来,采纳相似的渗入体式格局,它能够会形成更大的损坏,所以这个题目不该被忽视。

以下是协助组织机构防备遭到损伤的一些发起:

· 假如没有恰当的身份验证机制,切勿将docker保卫顺序暴露给互联网。请注意,默许情况下,Docker Engine(CE)不会暴露于互联网

· 运用Unix套接字在当地与Docker保卫顺序举行通讯,或许运用SSH连接到长途Docker保卫顺序。

· 运用防火墙划定规矩限定流量白名单。

· 切勿从未知注册表或未知用户空间中提取Docker映像。

· 常常搜检体系中是不是有未知的容器或映像。

· Prisma Cloud或Twistlock等云平安解决方案能够辨认。

本文翻译自:https://unit42.paloaltonetworks.com/graboid-first-ever-cryptojacking-worm-found-in-images-on-docker-hub/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Graboid:首例在Docker Hub映像中发明的加密挟制蠕虫
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址