Un nuovo tipo di cryptojacking (cryptomining) verme è stato rilevato in the wild.
Questo worm cryptojacking sta usando vulnerabili Docker ospita a diffondersi, che è qualcosa che raramente visto in attacchi malware. soprannominato Graboid, il worm si è diffuso in più di 2,000 host Docker non garantiti.
Immagine di Palo Alto
Graboid Cryptojacking Worm: alcuni dettagli
Scoperto da Unità di Palo Alto Networks 42 ricercatori, Graboid non è descritto come un verme sofisticato, ma è ancora molto pericoloso. Graboid può essere implementato per ransomware e la distribuzione di malware, se richiesto così dal server di comando e controllo.
Perché Graboid? I ricercatori “derivato il nome con un omaggio al film del 1990 “Tremors”, dal momento che questo worm si comporta in modo simile ai vermi nel film, dal fatto che si muove in brevi sequenze di velocità, ma nel complesso è relativamente inetto.”
Questo non è il primo caso malware cryptojacking che viene distribuito in forma di un verme. Tuttavia, questa è la prima volta i ricercatori rilevano un worm cryptojacking diffusione tramite container nel motore Docker (Community Edition).
Per quanto riguarda ciò che è Docker, si tratta di una serie di Platform-as-a-service di prodotti che utilizzano la virtualizzazione a livello del sistema operativo per fornire il software in pacchetti chiamati contenitori. La piattaforma è pensato per gli sviluppatori e gli amministratori di sistema per lo sviluppo, nave, ed eseguire applicazioni. Aiuta assemblare applicazioni da componenti, ed elimina anche l'attrito che può venire quando si spedisce il codice.
Perché sono attaccanti che utilizzano questo metodo per diffondere Graboid? Dal momento che la maggior parte delle applicazioni tradizionali di protezione degli endpoint non controllare i dati e le attività all'interno del contenitore, l'attività dannosa di Graboid potrebbe essere molto difficile da rilevare, i ricercatori hanno spiegato.
Come ha fatto l'inizio dell'operazione dannoso? Gli operatori di Graboid primo ha guadagnato il controllo di demoni Docker non garantiti, dove un'immagine Docker è stato installato prima per l'esecuzione sul host compromesso. Il prossimo passo dell'operazione era quello di distribuire il worm cryptojacking, scaricato dai server di comando e controllo, e iniziare a estrazione per Monero. Il worm è stato configurato anche per avviare le query per nuovi host vulnerabili dalla C&Server C. Nuovi obiettivi possono essere scelti in modo casuale, diffondere ulteriormente il verme Graboid.
La nostra analisi mostra che in media, ogni minatore è attivo 63% il tempo e ogni periodo mineraria dura 250 secondi. Il team ha lavorato Docker rapidamente in tandem con unità 42 per rimuovere le immagini dannosi una volta la nostra squadra li ha avvisato di questa operazione, dice il rapporto.
Si deve notare che, al momento la ricerca è stata scritta, l'immagine Docker pocosow / CentOS è stato scaricato più di 10,000 volte e gakeaws / nginx – più di 6,500 volte. I ricercatori hanno anche notato che lo stesso utente (gakeaws) pubblicato un'altra immagine cryptojacking, gakeaws / mysql, che ha il contenuto identico a gakeaws / nginx.
Come essere protetti contro il worm Graboid?
I ricercatori hanno condiviso alcuni consigli generali, come mai esporre un demone finestra mobile a Internet senza autenticazione. Altri suggerimenti includono utilizzando socket Unix alla comunicazione con Docker daemon localmente o usando SSH per connettersi a un daemon Docker remota.
Altre raccomandazioni di sicurezza includono:
- Utilizzando le regole del firewall di whitelist il traffico in entrata a un piccolo insieme di fonti;
- Mai tirare immagini Docker dai registri sconosciuti o sconosciuti spazi dei nomi utente;
- la verifica di frequente per contenitori sconosciuti o immagini nel sistema;
- Distribuzione di soluzioni di sicurezza cloud, come Prisma Cloud o Twistlock per identificare i contenitori dannosi e prevenire attività cryptojacking.
Alcuni anni fa, ricercatori di sicurezza rilevato una campagna dannoso che era diffusione 17 immagini maligni tramite il sito web Docker Hub. Gli amministratori del sito sono stati in grado di cancellare le immagini maligni 8 mesi dopo i primi rapporti srotolati.