Eine neue Art von cryptojacking (cryptomining) Wurm hat in der freien Natur erkannt wurde.
Dieser cryptojacking Wurm nutzt verwundbar Docker Gastgeber zu verbreiten, Das ist etwas selten in Malware-Attacken gesehen. synchronisiert Graboid, der Wurm auf mehr verbreitet als 2,000 ungesicherter Docker Gastgeber.
Bild von Palo Alto
Graboid Cryptojacking Worm: Ein paar Details
Entdeckt von Palo Alto Networks Einheit 42 Forscher, Graboid ist nicht als hoch entwickelte Wurm beschrieben, aber es ist immer noch ziemlich gefährlich. Graboid für Ransomware und Malware-Verteilung eingesetzt werden, wenn entsprechende Anweisung von den Kommando- und Kontrollserver.
Warum Graboid? Die Forscher “den Namen abgeleitet von Hommage an die 1990er Jahre Film zahlen “Tremors”, da dieser Wurm verhält sich auf die Sandwürmer im Film ähnlich, dadurch bewegt sie sich in kurzen Sprints, aber insgesamt ist relativ ungeschickten.”
Dies ist nicht der erste Fall von cryptojacking Malware, die in Form einer Schnecke verteilt. Jedoch, dies ist das erste Mal, Forscher ein cryptojacking Wurm verbreitet über Behälter in der Docker Motor erfassen (Gemeinschaftsausgabe).
Betreffs, was Docker ist, es ist eine Reihe von Plattform-as-a-Service-Produkten, die OS-Level-Virtualisierung verwendet in Paketen zu liefern Software-Container genannt. Die Plattform ist für Entwickler und Systemadministratoren gedacht zu entwickeln, Schiff, und Ausführen von Anwendungen. Es hilft montieren Anwendungen von Komponenten, und es entfällt auch die Reibung, die kommen können, wenn Code Versand.
Warum nutzen Angreifer diese Methode Graboid zu verbreiten? Da die meisten traditionellen Endpoint-Schutz-Anwendungen haben inspizieren keine Daten und Aktivitäten innerhalb des Behälters, die bösartigen Aktivitäten von Graboid könnten ziemlich schwierig sein, zu erkennen,, Die Forscher erklärten,.
Wie hat sich die böswillige Betriebsstart? Die Betreiber von Graboid gewann zuerst die Kontrolle über ungesicherte Docker Daemons, wo ein wurde Docker Bild zuerst auf dem kompromittierten Host ausgeführt installiert. Der nächste Schritt der Operation war der cryptojacking Wurm zu implementieren, von den Befehls- und Kontrollservern heruntergeladen, und beginnen für Monero Bergbau. Der Wurm wurde auch von der C für neue verwundbar Hosts Abfragen zu initiieren konfiguriert&C-Server. Neue Ziele können zufällig ausgewählt werden, weitere Ausbreitung der Graboid Wurm.
Unsere Analyse zeigt, dass im Durchschnitt, jeder Miner aktiv ist 63% der Zeit und jede Bergbauperiode dauert 250 Sekunden. Das Docker Team arbeitete schnell im Tandem mit Einheit 42 zu entfernen, die bösartigen Bilder einmal unser Team sich diese Operation aufmerksam gemacht, so der Bericht.
Es sei darauf hingewiesen, dass die Forschung zu der Zeit geschrieben wurde, die Docker Bild pocosow / CentOS wurde mehr als heruntergeladen 10,000 Zeiten und gakeaws / nginx – mehr als 6,500 mal. Die Forscher auch festgestellt, dass die gleichen Benutzer (gakeaws) ein weiteres cryptojacking Bild veröffentlicht, gakeaws / mysql, Das hat den gleichen Gehalt an gakeaws / nginx.
Wie man gegen den Wurm Graboid geschützt werden?
Die Forscher haben einige allgemeine Ratschläge geteilt wie nie einen Docker-Daemon zum Internet ohne Authentifizierung aussetzt. Andere Spitzen umfassen die Verwendung Unix Socket-Kommunikation mit Docker Daemon lokal oder SSH mit einem Fern Docker Daemon verbinden.
Weitere Sicherheitsempfehlungen enthalten:
- Mit Firewall-Regeln den eingehenden Datenverkehr auf eine kleine Gruppe von Quellen weiße Liste;
- Nie ziehen Docker Bilder von unbekannten Register oder unbekannte Benutzernamespaces;
- Häufig unbekannt Behälter oder Bilder in dem System der doppelten Kontrolle für;
- Bereitstellen von Cloud-Sicherheitslösungen wie Prisma Wolke oder Twistlock auf bösartige Behälter zu identifizieren und cryptojacking Aktivitäten verhindern.
Vor einigen Jahren, Sicherheitsexperten entdeckten eine bösartige Kampagne, die war Verbreitung 17 böswillige Bilder über Docker Hub Website. Die Website-Administratoren konnten die bösartigen Bilder löschen 8 Monate, nachdem die ersten Berichte ausgerollt.