Un nouveau type de cryptojacking (cryptomining) ver a été détecté dans la nature.
Ce ver utilise cryptojacking accueille Docker vulnérables à se propager, qui est quelque chose rarement vu dans les attaques de logiciels malveillants. surnommé Graboid, le ver a étendu à plus de 2,000 chirographaires hôtes Docker.
Image par Palo Alto
Graboid Cryptojacking Worm: Quelques détails
Découvert par l'unité de Palo Alto réseau 42 des chercheurs, Graboid n'est pas décrit comme un ver sophistiqué, mais il est encore très dangereux. Graboid peut être déployé pour ransomware et la distribution des logiciels malveillants, si instruit la demande du serveur de commande et de contrôle.
Pourquoi Graboid? Les chercheurs “dérivé le nom en rendant hommage au film de 1990 “tremblements”, car ce ver se comporte comme les sandworms dans le film, en ce qu 'elle se déplace dans de courtes rafales de vitesse, mais est globalement relativement inepte.”
Cela ne veut pas le premier cas de logiciels malveillants cryptojacking qui est distribué sous la forme d'une vis sans fin. Cependant, ce sont les premiers chercheurs à temps détecter un ver cryptojacking propagation par conteneurs dans le moteur Docker (Edition communautaire).
Quant à ce qui est Docker, il est un ensemble de plate-forme as a service des produits qui utilisent la virtualisation au niveau du système d'exploitation pour fournir des logiciels dans des emballages appelés conteneurs. La plate-forme est destinée aux développeurs et aux administrateurs système pour développer, navire, et applications exécutées. Il aide à assembler des applications à partir de composants, et il élimine également le frottement qui peut venir lorsque le code d'expédition.
Pourquoi les attaquants utilisent cette méthode pour diffuser Graboid? Étant donné que la plupart des applications de protection des terminaux traditionnels ne contrôlent pas les données et les activités dans le conteneur, l'activité malveillante Graboid pourrait être très difficile à détecter, les chercheurs ont expliqué.
Comment le début de l'opération malicieuse? Les opérateurs de premier Graboid ont pris le contrôle des daemons Docker non garanties, où une image Docker a été installé pour être exécuté sur l'hôte compromis. La prochaine étape de l'opération était de déployer le ver cryptojacking, téléchargé à partir des serveurs de commande et de contrôle, et commencer l'exploitation minière pour Monero. Le ver a également été configuré pour lancer des requêtes pour de nouveaux hôtes vulnérables de la C&serveurs de C. De nouvelles cibles peuvent être choisies au hasard, propagation du ver Graboid.
Notre analyse montre que, en moyenne,, chaque mineur est actif 63% du temps et chaque période d'exploitation dure 250 secondes. L'équipe a travaillé Docker rapidement en tandem avec l'unité 42 pour supprimer les images malveillantes une fois que notre équipe les a alertés de cette opération, le rapport.
Il convient de noter qu'au moment où la recherche a été écrit, l'image Docker pocosow / CentOS a été téléchargé plus de 10,000 fois et gakeaws / nginx – plus que 6,500 fois. Les chercheurs ont également remarqué que le même utilisateur (gakeaws) publié une autre image cryptojacking, gakeaws / mysql, qui a le contenu identique à gakeaws / nginx.
Comment protéger contre le ver Graboid?
Les chercheurs ont partagé quelques conseils généraux, comme jamais exposer un démon docker à Internet sans authentification. D'autres conseils comprennent l'utilisation socket de communication avec le démon Docker localement ou à l'aide de SSH pour se connecter à un démon distant Docker.
D'autres recommandations de sécurité comprennent:
- En utilisant les règles de pare-feu pour la liste blanche le trafic entrant à un petit ensemble de sources;
- Ne jamais tirer des images Docker à partir des registres inconnus ou namespaces d'utilisateurs inconnus;
- vérifier fréquemment des conteneurs ou des images inconnues dans le système;
- Déploiement de solutions de sécurité cloud telles que Prisma Cloud ou Twistlock pour identifier les conteneurs malveillants et prévenir les activités de cryptojacking.
Il y a quelques années, les chercheurs en sécurité ont détecté une campagne malveillante qui était diffusion 17 images malveillantes via Docker site Web du Centre. Les administrateurs du site ont été en mesure de supprimer les images malveillantes 8 mois après les premiers rapports déployés.