Palo Alto在Docker Hub镜像中首次发现一种加密挖矿蠕虫病毒

作者:Palo Alto Networks   来源:业界供稿    2019-10-18 14:11:48

关键字: 蠕虫 容器

Palo Alto Networks 威胁情报团队Unit 42近日宣布发现一种新型加密挖矿蠕虫病毒,已有2000多台Docker主机因保护不力而受到感染。

至顶网网络与安全频道 10月18日 综合消息:Palo Alto Networks (派拓网络)威胁情报团队Unit 42近日宣布发现一种新型加密挖矿蠕虫病毒,已有2000多台Docker主机因保护不力而受到感染。Unit 42将该病毒命名为Graboid,是向90年代电影《异形魔怪》致敬,其行为与电影中的沙虫相类似,移动速度较快但总体来讲相对笨拙。

尽管也发生过以蠕虫病毒形式传播的加密挖矿恶意事件,但这是我们首次在Docker Engine(社区版)中发现借助容器传播的加密挖矿蠕虫病毒。由于多数传统端点防护软件都不检测容器内的数据和活动,因此很难发现这一类型的恶意活动。攻击者首先通过不安全的Docker Daemon站稳脚跟,然后在受感染的主机上安装一个Docker镜像并运行。恶意软件从C2服务器上下载并部署完毕后,便开始挖矿寻找门罗币。此外,恶意软件会定期从C2服务器搜索新的带有漏洞的主机,然后随机选择下一个目标进行传播。我们的分析表明,挖矿病毒平均有63%的时间处于活跃状态,每个挖矿周期持续250秒。在Unit 42向Docker团队通报该情况后,Docker团队便迅速与Unit 42团队联手删除这些恶意镜像。

容器化加密挖矿蠕虫病毒

Palo Alto在Docker Hub镜像中首次发现Graboid加密挖矿蠕虫病毒 

图1  加密挖矿蠕虫病毒活动概览

Shodan的快速调查显示,有2000多个Docker Engine以不安全的方式暴露于互联网。无需任何身份验证或授权,攻击者就可以完全控制Docker Engine(社区版)和主机。恰恰是抓住了这一入口,攻击者才会部署并传播这一蠕虫病毒。图1标明了该恶意软件的分发和传播方式。攻击者入侵了一个未受保护的Docker daemon,运行从Docker Hub中提取的恶意Docker容器,从C2服务器下载一些脚本和易受攻击的主机列表,并反复选取下个目标传播蠕虫。我们称为“Graboid”的恶意软件在容器内进行蠕虫传播和加密挖矿。它在每次迭代中随机选择三个目标,在第一个目标上安装蠕虫,在第二个目标上停止挖矿,在第三个目标上启动挖矿。这种行为导致挖矿行为极度随机。如果我的主机被入侵,恶意容器不会立即启动。相反,我必须等到另一台受感染的主机选择我的主机并启动我的挖矿过程。其他受感染的主机也可以随机停止我的挖矿过程。从本质上讲,每台受感染主机上的挖矿程序都由所有其他受感染主机随机控制。这种随机设计的动机尚不清楚,有可能是因为设计不当,规避技术(效果不佳),自我维持的系统或其他目的。

以下为具体操作步骤

1. 攻击者选取某个不安全的docker主机作为攻击目标,然后远程发布指令下载并部署恶意Docker镜像pocosow/centos:7.6.1810. 该镜像含有一个用来与其他Docker主机通信的 docker client工具

2. pocosow/centos 容器中的入口脚本/var/sbin/bash会从C2服务器下载4个shell脚本并逐个运行,这4个脚本分别是live.sh, worm.sh, cleanxmr.sh, xmr.sh

3. 脚本live.sh将被攻击主机上的可用CPU数量发送至C2服务器

4. 脚本worm.sh下载一个名为“IP”的文档,其中包含2000多个IP地址。这些IP地址便是那些有着不安全的docker API端点的主机。Worm.sh随机选取一个IP地址作为攻击对象,使用docker client工具远程获取并部署pocosow/centos container容器

5. 脚本cleanxmr.sh随机选取IP文件中某个带有漏洞的主机,终止其上的加密挖矿容器。cleanxmr.sh终止的不仅是蠕虫部署的加密挖矿容器(gakeaws/nginx),也包含少数处于运行状态的xmrig容器

6. 脚本xmr.sh随机选取IP文件中某个带有漏洞的主机,然后将镜像gakeaws/nginx部署于目标主机之上。gakeaws/nginx含有伪装成为nginx的二进制xmrig

步骤1-6每隔一段时间便会在每个受感染的主机上反复执行,刷新间隔时间设定为100秒。pocosow/centos 容器部署后,刷新间隔时间、shell脚本以及IP文档就会从C2服务器上下载。

在写入期间,Docker镜像pocosow/centos下载次数超过10000次,而gakeaws/nginx也超过6500次此外,我们还注意到,同一个用户(gakeaws)发布了另外一个加密挖矿镜像gakeaws/mysql,其和gakeaws/nginx内容相同。只有在shell脚本下载并在容器内运行后,pocosow/centos镜像的不良企图才会被察觉。但通过其镜像创建历史,我们也可以轻松发现gakeaws/nginx 镜像的恶意企图。如图3所示,其只在创建时间栏(第7行)里将二进制xmrig重新命名为nginx。即便如此在创建时间里(第7行)付款地址也以硬编码的形式来应对不断变化的环境。

我们发现了2034个易受攻击的主机位置——57.4%的IP地址来自中国,其次有13%来自美国。我们还注意到,在恶意软件使用的15台C2服务器中,有14台主机列在IP地址文件中,剩下的那1台主机有50多个已知漏洞。这表明攻击者可能破坏了这些主机并将其用作C2服务器。通过对Docker daemon的控制,可以轻松部署Web服务器容器(例如httpd、nginx)并将有效负载放置其上。

蠕虫仿真

为了充分了解该蠕虫病毒的有效性及其整体挖矿能力,我们创建了一个简单的Python程序来模拟该蠕虫。假设在IP文档里有2000个主机,其中30%的主机在运行当中失效,设定刷新间隔时间为100秒,每台受感染主机配置一个CPU,该模拟实验时长为30天,我们希望能够找到:对于蠕虫来讲,要感染全部Docker主机需要多长时间?攻击者的挖矿能力如何?每个挖矿程序在被感染的主机上的活跃时间多长?

蠕虫传播速度很快。覆盖全部1400台带有漏洞的主机大约用时60分钟(占2000多台主机的70%)。图5右半部分显示受感染主机的整体挖矿能力。任何时候,都会有900个活跃挖矿程序在运行。换句话说,攻击者拥有1400个节点挖矿集群,至少有900个CPU的挖矿能力。由于挖矿程序可以在受感染的主机上随机启动和关闭,挖矿程序的活跃时间只占其全部时间的65%,平均每个挖矿周期仅仅持续250秒。

结论

尽管这种加密挖矿蠕虫病毒并不涉及复杂的战术、技术或过程,但它可以定期从C2服务器提取新脚本,因此可以轻松将其自身改造成为勒索软件或任何恶意软件,以彻底破坏主机,需引起重视。如果更强大的蠕虫出现并采用类似的传播方式,将会造成更大的破坏,因此组织必须保护其Docker主机。

以下是确保企业免受攻击的最佳实践清单:

1. 如果没有合适的认证机制,切勿在互联网公开Docker daemon。请注意,缺省情况下,Docker  Engine(社区版)不会暴露于互联网。

2. 使用Unix socket实现与Docker daemon的本地通信,或使用SSH连接到远程Docker daemon。

3. 使用防火墙规则将流入较小资源的流量列入白名单。

4. 切勿从未知注册表或未知用户名称空间提取Docker镜像。

5. 经常检查系统中是否有未知的容器或镜像。

6. Prisma Cloud或Twistlock等云安全解决方案可以识别恶意容器并阻止加密采矿等活动。

Palo Alto Networks(派拓网络)在本报告中与其他网络威胁联盟成员分享了其发现,包括文件样本和攻击指标。CTA成员使用此情报可快速为其客户部署保护措施,并系统地瓦解恶意网络参与者的入侵。

    扫一扫

    分享文章到微信


    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号京公网安备 11010802021500号
    举报电话:010-62641205-5060 举报email:jubao@zhiding.cn 安全联盟认证