作者: Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報團(tuán)隊Unit 42

最新博文摘要如下:

Palo Alto Networks （派拓網(wǎng)絡(luò)）威脅情報團(tuán)隊Unit 42近日宣布發(fā)現(xiàn)一種新型加密挖礦蠕蟲病毒，已有2000多臺Docker主機(jī)因保護(hù)不力而受到感染。Unit 42將該病毒命名為Graboid，是向90年代電影《異形魔怪》致敬，其行為與電影中的沙蟲相類似，移動速度較快但總體來講相對笨拙。
 
盡管也發(fā)生過以蠕蟲病毒形式傳播的加密挖礦惡意事件，但這是我們首次在Docker Engine（社區(qū)版）中發(fā)現(xiàn)借助容器傳播的加密挖礦蠕蟲病毒。由于多數(shù)傳統(tǒng)端點(diǎn)防護(hù)軟件都不檢測容器內(nèi)的數(shù)據(jù)和活動，因此很難發(fā)現(xiàn)這一類型的惡意活動。攻擊者首先通過不安全的Docker Daemon站穩(wěn)腳跟，然后在受感染的主機(jī)上安裝一個Docker鏡像并運(yùn)行。惡意軟件從C2服務(wù)器上下載并部署完畢后，便開始挖礦尋找門羅幣。此外，惡意軟件會定期從C2服務(wù)器搜索新的帶有漏洞的主機(jī)，然后隨機(jī)選擇下一個目標(biāo)進(jìn)行傳播。我們的分析表明，挖礦病毒平均有63％的時間處于活躍狀態(tài)，每個挖礦周期持續(xù)250秒。在Unit 42向Docker團(tuán)隊通報該情況后，Docker團(tuán)隊便迅速與Unit 42團(tuán)隊聯(lián)手刪除這些惡意鏡像。

容器化加密挖礦蠕蟲病毒
 

圖1. 加密挖礦蠕蟲病毒活動概覽

 
Shodan的快速調(diào)查顯示，有2,000多個Docker Engine以不安全的方式暴露于互聯(lián)網(wǎng)。無需任何身份驗(yàn)證或授權(quán)，攻擊者就可以完全控制Docker Engine（社區(qū)版）和主機(jī)。恰恰是抓住了這一入口，攻擊者才會部署并傳播這一蠕蟲病毒。圖1標(biāo)明了該惡意軟件的分發(fā)和傳播方式。攻擊者入侵了一個未受保護(hù)的Docker daemon，運(yùn)行從Docker Hub中提取的惡意Docker容器，從C2服務(wù)器下載一些腳本和易受攻擊的主機(jī)列表，并反復(fù)選取下個目標(biāo)傳播蠕蟲。我們稱為“Graboid”的惡意軟件在容器內(nèi)進(jìn)行蠕蟲傳播和加密挖礦。它在每次迭代中隨機(jī)選擇三個目標(biāo)，在第一個目標(biāo)上安裝蠕蟲，在第二個目標(biāo)上停止挖礦，在第三個目標(biāo)上啟動挖礦。這種行為導(dǎo)致挖礦行為極度隨機(jī)。如果我的主機(jī)被入侵，惡意容器不會立即啟動。相反，我必須等到另一臺受感染的主機(jī)選擇我的主機(jī)并啟動我的挖礦過程。其他受感染的主機(jī)也可以隨機(jī)停止我的挖礦過程。從本質(zhì)上講，每臺受感染主機(jī)上的挖礦程序都由所有其他受感染主機(jī)隨機(jī)控制。這種隨機(jī)設(shè)計的動機(jī)尚不清楚，有可能是因?yàn)樵O(shè)計不當(dāng)，規(guī)避技術(shù)（效果不佳），自我維持的系統(tǒng)或其他目的。

以下為具體操作步驟：
 
1.     攻擊者選取某個不安全的docker主機(jī)作為攻擊目標(biāo)，然后遠(yuǎn)程發(fā)布指令下載并部署惡意Docker鏡像pocosow/centos:7.6.1810. 該鏡像含有一個用來與其他Docker主機(jī)通信的 docker client工具
 
2.     pocosow/centos 容器中的入口腳本/var/sbin/bash會從C2服務(wù)器下載4個shell腳本并逐個運(yùn)行，這4個腳本分別是live.sh, worm.sh, cleanxmr.sh, xmr.sh
 
3.     腳本live.sh將被攻擊主機(jī)上的可用CPU數(shù)量發(fā)送至C2服務(wù)器
 
4.     腳本worm.sh下載一個名為“IP”的文檔，其中包含2000多個IP地址。這些IP地址便是那些有著不安全的docker API端點(diǎn)的主機(jī)。Worm.sh隨機(jī)選取一個IP地址作為攻擊對象，使用docker client工具遠(yuǎn)程獲取并部署pocosow/centos container容器
 
5.     腳本cleanxmr.sh隨機(jī)選取IP文件中某個帶有漏洞的主機(jī)，終止其上的加密挖礦容器。cleanxmr.sh終止的不僅是蠕蟲部署的加密挖礦容器(gakeaws/nginx)，也包含少數(shù)處于運(yùn)行狀態(tài)的xmrig容器
 
6.     腳本xmr.sh隨機(jī)選取IP文件中某個帶有漏洞的主機(jī)，然后將鏡像gakeaws/nginx部署于目標(biāo)主機(jī)之上。gakeaws/nginx含有偽裝成為nginx的二進(jìn)制xmrig
 
 
步驟1-6每隔一段時間便會在每個受感染的主機(jī)上反復(fù)執(zhí)行，刷新間隔時間設(shè)定為100秒。pocosow/centos 容器部署后，刷新間隔時間、shell腳本以及IP文檔就會從C2服務(wù)器上下載。
 
在寫入期間，如圖2所示，Docker鏡像pocosow/centos下載次數(shù)超過10000次，而gakeaws/nginx也超過6500次。此外，我們還注意到，同一個用戶(gakeaws)發(fā)布了另外一個加密挖礦鏡像gakeaws/mysql，其和gakeaws/nginx內(nèi)容相同。只有在shell腳本下載并在容器內(nèi)運(yùn)行后，pocosow/centos鏡像的不良企圖才會被察覺。但通過其鏡像創(chuàng)建歷史，我們也可以輕松發(fā)現(xiàn)gakeaws/nginx 鏡像的惡意企圖。如圖3所示，其只在創(chuàng)建時間欄（第7行）里將二進(jìn)制xmrig重新命名為nginx。即便如此在創(chuàng)建時間里（第7行）付款地址也以硬編碼的形式來應(yīng)對不斷變化的環(huán)境。
 
圖4顯示了IP地址文件中列出的2,034個易受攻擊的主機(jī)位置——57.4%的IP地址來自中國，其次有13%來自美國。我們還注意到，在惡意軟件使用的15臺C2服務(wù)器中，有14臺主機(jī)列在IP地址文件中，剩下的那1臺主機(jī)有50多個已知漏洞。這表明攻擊者可能破壞了這些主機(jī)并將其用作C2服務(wù)器。通過對Docker daemon的控制，可以輕松部署Web服務(wù)器容器（例如httpd、nginx）并將有效負(fù)載放置其上。
 

圖2. Docker Hub上惡意Docker鏡像

 

圖3. gakeaws/nginx的鏡像歷史

 

 

圖4. IP文檔中漏洞主機(jī)的所在國家

 
蠕蟲仿真
 
為了充分了解該蠕蟲病毒的有效性及其整體挖礦能力，我們創(chuàng)建了一個簡單的Python程序來模擬該蠕蟲。假設(shè)在IP文檔里有2000個主機(jī)，其中30%的主機(jī)在運(yùn)行當(dāng)中失效，設(shè)定刷新間隔時間為100秒，每臺受感染主機(jī)配置一個CPU，該模擬實(shí)驗(yàn)時長為30天，我們希望能夠找到：
 
1.      對于蠕蟲來講，要感染全部Docker主機(jī)需要多長時間？
2.      攻擊者的挖礦能力如何？
3.      每個挖礦程序在被感染的主機(jī)上的活躍時間多長？
 
圖5左半部分顯示了蠕蟲的傳播速度。覆蓋全部1400臺帶有漏洞的主機(jī)大約用時60分鐘（占2000多臺主機(jī)的70%）。圖5右半部分顯示受感染主機(jī)的整體挖礦能力。任何時候，都會有900個活躍挖礦程序在運(yùn)行。換句話說，攻擊者擁有1400個節(jié)點(diǎn)挖礦集群，至少有900個CPU的挖礦能力。由于挖礦程序可以在受感染的主機(jī)上隨機(jī)啟動和關(guān)閉，挖礦程序的活躍時間只占其全部時間的65%，平均每個挖礦周期僅僅持續(xù)250秒。
 

圖5. 蠕蟲仿真

 
結(jié)論
 
盡管這種加密挖礦蠕蟲病毒并不涉及復(fù)雜的戰(zhàn)術(shù)、技術(shù)或過程，但它可以定期從C2服務(wù)器提取新腳本，因此可以輕松將其自身改造成為勒索軟件或任何惡意軟件，以徹底破壞主機(jī)，需引起重視。如果更強(qiáng)大的蠕蟲出現(xiàn)并采用類似的傳播方式，將會造成更大的破壞，因此組織必須保護(hù)其Docker主機(jī)。
以下是確保企業(yè)免受攻擊的最佳實(shí)踐清單：
 

•  如果沒有合適的認(rèn)證機(jī)制，切勿在互聯(lián)網(wǎng)公開Docker daemon。請注意，缺省情況下，Docker  Engine（社區(qū)版）不會暴露于互聯(lián)網(wǎng)

•  使用Unix socket實(shí)現(xiàn)與Docker daemon的本地通信，或使用SSH連接到遠(yuǎn)程Docker daemon

•  使用防火墻規(guī)則將流入較小資源的流量列入白名單

•  切勿從未知注冊表或未知用戶名稱空間提取Docker鏡像

•  經(jīng)常檢查系統(tǒng)中是否有未知的容器或鏡像

•  Prisma Cloud或Twistlock等云安全解決方案可以識別惡意容器并阻止加密采礦等活動

 
Palo Alto Networks（派拓網(wǎng)絡(luò)）在本報告中與其他網(wǎng)絡(luò)威脅聯(lián)盟成員分享了其發(fā)現(xiàn)，包括文件樣本和攻擊指標(biāo)。CTA成員使用此情報可快速為其客戶部署保護(hù)措施，并系統(tǒng)地瓦解惡意網(wǎng)絡(luò)參與者的入侵。有關(guān)網(wǎng)絡(luò)威脅聯(lián)盟的更多信息，請訪問www.cyberthreatalliance.org。

攻擊指標(biāo)
 
Docker 鏡像:
pocosow/centos:7.6.1810:
Digest: sha256:6560ddfd4b9af2c87b48ad98d93c56fbf1d7c507763e99b3d25a4d998c3f77cf
 
gakeaws/nginx:8.9:
       Digest: sha256:4827767b9383215053abe6688e82981b5fbeba5d9d40070876eb7948fb73dedb
 
gakeaws/mysql:
       Digest: sha256:15319b6ca1840ec2aa69ea4f41d89cdf086029e3bcab15deaaf7a85854774881
 
Monero Address:       45TwKEr1LjoEPuxnbfuPhaXCf138AoQvtSJ3jdqg1gPxNjkSNbQpzZrGDaFHGLrVT7AzM7tU9QY8NVdr4H1C3r2d3XN9Cty
 
C2 servers:
120.27.32[.]15
 
103.248.164[.]38
 
101.161.223[.]254
 
61.18.240[.]160
 
182.16.102[.]97
 
47.111.96[.]197
 
106.53.85[.]204
 
116.62.48[.]5
 
114.67.68[.]52
 
118.24.222[.]18
 
106.13.127[.]6
 
129.211.98[.]236
 
101.37.245[.]200
 
106.75.96[.]126
 
47.107.191[.]137
 
 
博文英文版詳見以下鏈接：https://unit42.paloaltonetworks.com/graboid-first-ever-cryptojacking-worm-found-in-images-on-docker-hub/

標(biāo)簽： 挖 筧涑娌《

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。