Een nieuw type cryptojacking (cryptomining) worm aangetroffen in het wild.
Dit cryptojacking worm maakt gebruik kwetsbaar Docker hosts te verspreiden, dat is iets wat zelden gezien in malware-aanvallen. Dubbed Graboid, de worm zich heeft verspreid naar meer dan 2,000 onbeveiligde Docker hosts.
Afbeelding door Palo Alto
Graboid Cryptojacking Worm: sommige Details
Ontdekt door Unit Palo Alto Networks 42 onderzoekers, Graboid wordt niet beschreven als een geavanceerde worm, maar het is nog steeds heel gevaarlijk. Graboid kunnen worden ingezet voor ransomware en de verspreiding van malware, zo ja, in opdracht van de command-and-control server.
Waarom Graboid? De onderzoekers “afgeleid van de naam van een eerbetoon aan de jaren 1990 film “Tremors”, omdat deze worm gedraagt zich zoals de zandwormen in de film, in dat het beweegt in korte uitbarstingen van snelheid, maar over het algemeen is relatief onhandig.”
Dit is niet het eerste geval van cryptojacking malware die wordt verspreid in de vorm van een worm. Echter, dit is de eerste keer dat onderzoekers sporen van een cryptojacking worm verspreiden via containers in de Docker Engine (Community Edition).
Met betrekking tot wat Docker is, Het is een set van Platform-as-a-service producten die OS-niveau virtualisatie gebruiken om software te leveren in pakketten genoemd worden containers. Het platform is bedoeld voor ontwikkelaars en systeembeheerders te ontwikkelen, schip, en toepassingen uitvoeren. Het helpt assembleren toepassingen van componenten, en het elimineert ook de wrijving die kunnen komen bij het verzenden code.
Waarom zijn aanvallers gebruik te maken van deze methode om Graboid verspreiden? Aangezien de meeste traditionele toepassingen endpoint protection geen data en activiteiten binnen container te inspecteren, de kwaadwillige activiteit van Graboid kon heel moeilijk op te sporen, de onderzoekers verklaard.
Hoe heeft de schadelijke werking start? De exploitanten van Graboid eerste kreeg controle van ongedekte Docker daemons, waarbij beeld Docker voor het eerst werd geïnstalleerd te lopen op de gecompromitteerde gastheer. De volgende stap van de operatie was om de cryptojacking worm inzetten, gedownload van de command and control servers, en beginnen met de mijnbouw voor Monero. De worm werd ook geconfigureerd om query's voor nieuwe kwetsbare systemen van de C initiëren&C-servers. Nieuwe doelen kunnen willekeurig worden gekozen, verdere verspreiding van de worm Graboid.
Uit onze analyse blijkt dat gemiddeld, elke miner actief 63% van de tijd en elke mijnbouw periode langer duurt 250 seconden. De Docker team werkte snel in tandem met Unit 42 de kwaadaardige beelden verwijderen zodra ons team hen gewaarschuwd van deze operatie, aldus het rapport.
Opgemerkt dient te worden dat op het moment dat het onderzoek werd geschreven, imago van de Docker pocosow / centos werd meer dan gedownload 10,000 tijden en gakeaws / nginx – meer dan 6,500 tijden. De onderzoekers ook gemerkt dat dezelfde gebruiker (gakeaws) gepubliceerd ander cryptojacking image, gakeaws / mysql, dat de identieke inhoud gakeaws / nginx.
Hoe te worden beschermd tegen de Graboid worm?
De onderzoekers hebben een aantal algemene adviezen gedeeld, zoals nog nooit een havenarbeider daemon tot het internet blootstellen zonder verificatie. Andere tips zijn onder meer het gebruik van Unix socket om de communicatie met Docker daemon lokaal of SSH gebruiken om verbinding met een externe Docker daemon.
Andere aanbevelingen aspect veiligheid:
- Met behulp van firewall-regels om het inkomende verkeer op de witte lijst om een kleine set van bronnen;
- Nooit trekken Docker beelden van onbekende registers of onbekende gebruiker namespaces;
- Vaak controleren op onbekende containers of afbeeldingen in het systeem;
- De implementatie van beveiligingsoplossingen cloud zoals Prisma Cloud of Twistlock om kwaadaardige containers identificeren en te voorkomen cryptojacking activiteiten.
Een paar jaar geleden, security onderzoekers ontdekte een kwaadaardige campagne die was verspreiding 17 kwaadaardige beelden via Docker Hub website. De website-beheerders in staat waren om de schadelijke afbeeldingen te verwijderen 8 maanden nadat de eerste verslagen uitgerold.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: