Hjem > Cyber ​​Nyheder > The Graboid Cryptojacking Worm udnytter usikrede Docker -værter
CYBER NEWS

Den Graboid Cryptojacking Worm udnytter usikrede Docker værter

En ny type cryptojacking (cryptomining) orm er blevet detekteret i naturen.

Denne cryptojacking orm bruger sårbar Docker værter til at sprede, der er noget sjældent set i malware-angreb. Døbt Graboid, ormen har spredt sig til mere end 2,000 usikrede Docker værter.

Billede af Palo Alto

Graboid Cryptojacking Worm: Nogle Detaljer

Opdaget af Palo Alto Networks Unit 42 forskere, Graboid er ikke beskrevet som en sofistikeret orm, men det er stadig ganske farlig. Graboid kan implementeres for ransomware og malware fordeling, hvis instrueret det af command-and-control-server.




Hvorfor Graboid? forskerne “afledt navnet ved at betale hyldest til 1990'erne film “rystelser”, da denne orm opfører sig på samme måde som de sandworms i filmen, ved, at den bevæger sig i korte byger af hastighed, men generelt er forholdsvis uduelig.”

Dette er ikke det første tilfælde af cryptojacking malware, som fordeles i form af en orm. Men, dette er første gang forskere registrerer en cryptojacking orm spreder via containere i Docker Engine (Community Edition).

Med hensyn til hvad Docker er, det er et sæt af platform-as-a-service produkter, der bruger OS-niveau virtualisering til at levere software i pakker kaldet beholdere. Platformen er beregnet til udviklere og systemadministratorer til at udvikle, skib, og køre programmer. Det hjælper samle ansøgninger fra komponenter, og det fjerner også friktion, der kan komme, når forsendelse kode.

Hvorfor angribere udnytter denne metode til at sprede Graboid? Da de fleste traditionelle applikationer beskyttelse endpoint ikke inspicere data og aktiviteter inden for container, ondsindet aktivitet Graboid kunne være ganske vanskeligt at opdage, forskerne forklarede.

Hvordan gjorde ondsindet driftsstart? Operatørerne af Graboid først fik kontrol af usikrede Docker dæmoner, hvor en Docker billede først blev installeret til at køre på den kompromitteret vært. Det næste trin i operationen var at implementere cryptojacking orm, downloades fra kommando og kontrol-servere, og starte minedrift for Monero. Ormen blev også konfigureret til at starte forespørgsler til nye sårbare værter fra C&C-servere. Nye mål kan vælges tilfældigt, yderligere spredning af Graboid ormen.

Vores analyse viser, at i gennemsnit, hver minearbejder er aktiv 63% af tiden, og hver minedrift periode varer 250 sekunder. Den Docker team arbejdede hurtigt i takt med Unit 42 til at fjerne de skadelige billeder, når vores hold advaret dem om denne operation, hedder det i rapporten.

Det skal bemærkes, at på det tidspunkt, forskningen blev skrevet, den Docker billede pocosow / centos blev downloadet mere end 10,000 gange og gakeaws / nginx – mere end 6,500 gange. Forskerne bemærkede også, at den samme bruger (gakeaws) udgivet en anden cryptojacking billede, gakeaws / mysql, der har samme indhold til gakeaws / nginx.




Hvordan skal beskyttes mod Graboid ormen?

Forskerne har delt nogle generelle råd som aldrig udsætte en havnearbejder dæmon til internettet uden godkendelse. Andre tip omfatter udnytte Unix stik til kommunikation med Docker dæmonen lokalt eller ved hjælp af SSH for at oprette forbindelse til en fjern Docker dæmon.

Andre sikkerheds anbefalinger omfatter:

  • Brug firewall regler at whiteliste den indgående trafik til et lille sæt af kilder;
  • Aldrig at trække Docker billeder fra ukendte registre eller ukendte bruger navnerum;
  • Ofte kontrollere for ukendte beholdere eller billeder i systemet;
  • Iværksæt cloud sikkerhedsløsninger såsom Prisma Cloud eller drejelås at identificere ondsindede containere og forebygge cryptojacking aktiviteter.

Et par år siden, sikkerhed forskere opdaget en ondsindet kampagne, som var breder sig 17 ondsindede billeder via Docker Hub hjemmeside. Hjemmesiden administratorer var i stand til at slette de ondsindede billeder 8 måneder efter de første rapporter rulles ud.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig