Casa > cibernético Notícias > O worm Cryptojacking Graboid está explorando hosts Docker desprotegidos
CYBER NEWS

O Worm Graboid Cryptojacking está explorando Hosts Docker inseguros

Um novo tipo de cryptojacking (cryptomining) sem-fim foi detectado na natureza.

Este worm cryptojacking está usando anfitriões Docker vulneráveis ​​à propagação, que é algo raramente visto em ataques de malware. apelidado Graboid, o worm se espalhou para mais de 2,000 anfitriões Docker inseguros.

Imagem por Palo Alto

Graboid Cryptojacking Worm: Alguns detalhes

Descoberto por Unidade da Palo Alto Networks 42 pesquisadores, Graboid não é descrito como um verme sofisticado, mas ainda é muito perigoso. Graboid pode ser implantado para ransomware e distribuição de malwares, se instruído por isso, o servidor de comando e controle.




Por Graboid? Os pesquisadores “derivada do nome, pagando homenagem ao filme de 1990 de “tremores”, desde que este worm se comporta de forma semelhante aos vermes da areia no filme, na medida em que se move em rajadas curtas de velocidade, mas em geral é relativamente inepto.”

Este não é o primeiro caso de malware cryptojacking que é distribuído na forma de um verme. Contudo, esta é a primeira vez que pesquisadores detectar um worm cryptojacking espalhando via contêineres no motor Docker (Edição da comunidade).

Quanto ao que Docker é, é um conjunto de plataforma-como-um-serviço produtos que a virtualização de uso no nível OS para entregar software em pacotes chamados contentores. A plataforma é destinado a desenvolvedores e administradores de sistemas para desenvolver, navio, e executar aplicações. Ele ajuda a montar aplicações de componentes, e também elimina o atrito que pode vir quando o transporte de código.

Por que os atacantes utilizando este método para espalhar Graboid? Como a maioria das aplicações tradicionais de proteção de endpoint não inspecionar os dados e atividades dentro do recipiente, a atividade maliciosa de Graboid poderia ser bastante difícil de detectar, os pesquisadores explicaram.

Como a operação maliciosa começar? Os operadores de Graboid primeiro ganhou o controle do daemons Docker inseguros, onde uma imagem Docker foi instalado pela primeira vez para ser executado no host comprometido. O próximo passo da operação foi de implantar o worm cryptojacking, baixados dos servidores de comando e controle, e começar a extrair para Monero. O worm também foi configurado para iniciar consultas para novos hospedeiros vulneráveis ​​do C&servidores C. Novos alvos podem ser escolhidos aleatoriamente, espalhando ainda mais o worm Graboid.

Nossos análise mostra que, em média, cada mineiro é activa 63% do tempo e cada período de mineração dura 250 segundos. A equipe Docker trabalhou rapidamente em conjunto com a Unidade 42 para remover as imagens maliciosos uma vez a nossa equipe alertado desta operação, segundo o relatório.

Note-se que, no momento da pesquisa foi escrita, a imagem Docker pocosow / centos foi baixado mais de 10,000 vezes e gakeaws / nginx – mais que 6,500 vezes. Os pesquisadores também notaram que o mesmo usuário (gakeaws) publicou outra imagem cryptojacking, gakeaws / mysql, que tem o conteúdo idêntico ao gakeaws / nginx.




Como se proteger contra o verme Graboid?

Os pesquisadores compartilharam alguns conselhos gerais, como nunca expor um daemon do docker à Internet sem autenticação. Outras dicas incluem a utilização do soquete Unix para comunicação local com o daemon do Docker ou o uso do SSH para conectar-se a um daemon do Docker remoto.

Outras recomendações de segurança incluem:

  • Usando regras de firewall para incluir na lista branca o tráfego recebido em um pequeno conjunto de fontes;
  • Nunca extrair imagens do Docker de registros ou espaços de nome de usuário desconhecidos;
  • Verificando frequentemente contêineres ou imagens desconhecidos no sistema;
  • Implantando soluções de segurança na nuvem, como Prisma Cloud ou Twistlock, para identificar contêineres mal-intencionados e impedir atividades de quebra de criptografia.

Alguns anos atrás, pesquisadores de segurança detectaram uma campanha maliciosa que foi espalhando 17 imagens maliciosas via site do Docker Hub. Os administradores do site foram capazes de excluir as imagens maliciosas 8 meses após o lançamento dos primeiros relatórios.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo