Um novo tipo de cryptojacking (cryptomining) sem-fim foi detectado na natureza.
Este worm cryptojacking está usando anfitriões Docker vulneráveis à propagação, que é algo raramente visto em ataques de malware. apelidado Graboid, o worm se espalhou para mais de 2,000 anfitriões Docker inseguros.
Imagem por Palo Alto
Graboid Cryptojacking Worm: Alguns detalhes
Descoberto por Unidade da Palo Alto Networks 42 pesquisadores, Graboid não é descrito como um verme sofisticado, mas ainda é muito perigoso. Graboid pode ser implantado para ransomware e distribuição de malwares, se instruído por isso, o servidor de comando e controle.
Por Graboid? Os pesquisadores “derivada do nome, pagando homenagem ao filme de 1990 de “tremores”, desde que este worm se comporta de forma semelhante aos vermes da areia no filme, na medida em que se move em rajadas curtas de velocidade, mas em geral é relativamente inepto.”
Este não é o primeiro caso de malware cryptojacking que é distribuído na forma de um verme. Contudo, esta é a primeira vez que pesquisadores detectar um worm cryptojacking espalhando via contêineres no motor Docker (Edição da comunidade).
Quanto ao que Docker é, é um conjunto de plataforma-como-um-serviço produtos que a virtualização de uso no nível OS para entregar software em pacotes chamados contentores. A plataforma é destinado a desenvolvedores e administradores de sistemas para desenvolver, navio, e executar aplicações. Ele ajuda a montar aplicações de componentes, e também elimina o atrito que pode vir quando o transporte de código.
Por que os atacantes utilizando este método para espalhar Graboid? Como a maioria das aplicações tradicionais de proteção de endpoint não inspecionar os dados e atividades dentro do recipiente, a atividade maliciosa de Graboid poderia ser bastante difícil de detectar, os pesquisadores explicaram.
Como a operação maliciosa começar? Os operadores de Graboid primeiro ganhou o controle do daemons Docker inseguros, onde uma imagem Docker foi instalado pela primeira vez para ser executado no host comprometido. O próximo passo da operação foi de implantar o worm cryptojacking, baixados dos servidores de comando e controle, e começar a extrair para Monero. O worm também foi configurado para iniciar consultas para novos hospedeiros vulneráveis do C&servidores C. Novos alvos podem ser escolhidos aleatoriamente, espalhando ainda mais o worm Graboid.
Nossos análise mostra que, em média, cada mineiro é activa 63% do tempo e cada período de mineração dura 250 segundos. A equipe Docker trabalhou rapidamente em conjunto com a Unidade 42 para remover as imagens maliciosos uma vez a nossa equipe alertado desta operação, segundo o relatório.
Note-se que, no momento da pesquisa foi escrita, a imagem Docker pocosow / centos foi baixado mais de 10,000 vezes e gakeaws / nginx – mais que 6,500 vezes. Os pesquisadores também notaram que o mesmo usuário (gakeaws) publicou outra imagem cryptojacking, gakeaws / mysql, que tem o conteúdo idêntico ao gakeaws / nginx.
Como se proteger contra o verme Graboid?
Os pesquisadores compartilharam alguns conselhos gerais, como nunca expor um daemon do docker à Internet sem autenticação. Outras dicas incluem a utilização do soquete Unix para comunicação local com o daemon do Docker ou o uso do SSH para conectar-se a um daemon do Docker remoto.
Outras recomendações de segurança incluem:
- Usando regras de firewall para incluir na lista branca o tráfego recebido em um pequeno conjunto de fontes;
- Nunca extrair imagens do Docker de registros ou espaços de nome de usuário desconhecidos;
- Verificando frequentemente contêineres ou imagens desconhecidos no sistema;
- Implantando soluções de segurança na nuvem, como Prisma Cloud ou Twistlock, para identificar contêineres mal-intencionados e impedir atividades de quebra de criptografia.
Alguns anos atrás, pesquisadores de segurança detectaram uma campanha maliciosa que foi espalhando 17 imagens maliciosas via site do Docker Hub. Os administradores do site foram capazes de excluir as imagens maliciosas 8 meses após o lançamento dos primeiros relatórios.