Un nuevo tipo de cryptojacking (cryptomining) gusano se ha detectado en la naturaleza.
Este gusano cryptojacking está utilizando vulnerables acoplable acoge a extenderse, que es algo pocas veces visto en los ataques de malware. apodado Graboid, el gusano se ha extendido a más de 2,000 Docker anfitriones no garantizados.
Imagen de Palo Alto
Gusano Graboid Cryptojacking: Algunos detalles
Descubierto por unidad de Palo Alto Networks 42 investigadores, Graboid no se describe como un gusano sofisticada, pero todavía es bastante peligroso. Graboid puede ser desplegado para ransomware y distribución de malware, si se lo indica así que por el servidor de comando y control.
¿Por Graboid? Los investigadores “deriva el nombre por el que rinde homenaje a la película del 1990 “temblores”, ya que este gusano se comporta de manera similar a los gusanos de arena en la película, en el que se mueve en ráfagas cortas de velocidad, pero en general es relativamente inepto.”
Este no es el primer caso de malware cryptojacking que se distribuye en forma de un gusano. Sin embargo, esta es la primera vez que los investigadores detectan un gusano cryptojacking difusión a través de los contenedores en la ventana acoplable del motor (Edición comunidad).
En cuanto a lo que es acoplable, es un conjunto de productos de plataforma como un servicio que utilizan la virtualización a nivel de sistema operativo para entregar el software en paquetes llamados contenedores. La plataforma está pensada para los desarrolladores y administradores de sistemas para desarrollar, Embarcacion, y ejecutar aplicaciones. Ayuda a ensamblar componentes de aplicaciones, y también elimina la fricción que puede venir al enviar código.
¿Por qué se atacantes que utilizan este método para propagar Graboid? Como la mayoría de las aplicaciones tradicionales de protección de punto final no inspeccionan los datos y actividades dentro de contenedores, la actividad maliciosa de Graboid podría ser muy difíciles de detectar, los investigadores explicaron.
¿Cómo fue el inicio de la operación maliciosa? Los operadores de Graboid ganaron primer control de demonios Docker sin garantía, donde la imagen de un estibador se instala por primera vez para ejecutarse en el host comprometido. El siguiente paso de la operación era desplegar el gusano cryptojacking, descargado desde los servidores de comando y control, y comenzar la extracción de Moneo. El gusano también se ha configurado para iniciar consultas para nuevos hosts vulnerables de la C&Servidores C. Nuevos objetivos pueden ser elegidos al azar, una mayor propagación del gusano Graboid.
Nuestro análisis muestra que en promedio, cada minero está activo 63% del tiempo y cada período de duración de la minería 250 segundos. El equipo trabajó rápidamente acoplable en conjunto con la Unidad 42 para eliminar las imágenes maliciosos una vez que nuestro equipo les alertó de esta operación, según el informe.
Cabe señalar que en el momento de la investigación fue escrito, imagen de la ventana acoplable pocosow/centos fue descargado más de 10,000 veces y gakeaws / nginx – más que 6,500 veces. Los investigadores también notaron que el mismo usuario (gakeaws) publicado otra imagen cryptojacking, gakeaws / MySQL, que tiene el contenido idéntica a gakeaws / nginx.
Cómo ser protegidos contra el gusano Graboid?
Los investigadores han compartido algunos consejos generales tales como nunca exponer un demonio ventana acoplable a internet sin autenticación. Otros consejos incluyen la utilización de socket de Unix para la comunicación con el demonio acoplable de forma local o usando SSH para conectarse a un servicio remoto acoplable.
Otras recomendaciones de seguridad incluyen:
- El uso de reglas de firewall a la lista blanca del tráfico de entrada a un pequeño conjunto de fuentes;
- Nunca tirar de imágenes acoplables de los registros desconocidos o espacios de nombres de usuario desconocidas;
- comprobar con frecuencia para contenedores desconocidos o imágenes en el sistema;
- Implementación de soluciones de seguridad de la nube como la nube Prisma o de cierre giratorio para identificar contenedores maliciosos y evitan actividades cryptojacking.
Hace unos pocos años, los investigadores de seguridad detectan una campaña maliciosa que era extensión 17 imágenes maliciosos acoplable a través del sitio de concentradores. Los administradores de sitios web fueron capaces de eliminar las imágenes maliciosos 8 meses después de los primeros informes desplegado.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: