O Worm Graboid Cryptojacking está explorando Hosts Docker inseguros
CYBER NEWS

O Worm Graboid Cryptojacking está explorando Hosts Docker inseguros

Um novo tipo de cryptojacking (cryptomining) sem-fim foi detectado na natureza.

Este worm cryptojacking está usando anfitriões Docker vulneráveis ​​à propagação, que é algo raramente visto em ataques de malware. apelidado Graboid, o worm se espalhou para mais de 2,000 anfitriões Docker inseguros.

Imagem por Palo Alto




Graboid Cryptojacking Worm: Alguns detalhes

Descoberto por Unidade da Palo Alto Networks 42 pesquisadores, Graboid não é descrito como um verme sofisticado, mas ainda é muito perigoso. Graboid pode ser implantado para ransomware e distribuição de malwares, se instruído por isso, o servidor de comando e controle.

relacionado: Nansh0u infecta campanha 50,000 Servidores com Kernel-Mode Rootkit

Por Graboid? Os pesquisadores “derivada do nome, pagando homenagem ao filme de 1990 de “tremores”, desde que este worm se comporta de forma semelhante aos vermes da areia no filme, na medida em que se move em rajadas curtas de velocidade, mas em geral é relativamente inepto.”

Este não é o primeiro caso de malware cryptojacking que é distribuído na forma de um verme. Contudo, esta é a primeira vez que pesquisadores detectar um worm cryptojacking espalhando via contêineres no motor Docker (Edição da comunidade).

Quanto ao que Docker é, é um conjunto de plataforma-como-um-serviço produtos que a virtualização de uso no nível OS para entregar software em pacotes chamados contentores. A plataforma é destinado a desenvolvedores e administradores de sistemas para desenvolver, navio, e executar aplicações. Ele ajuda a montar aplicações de componentes, e também elimina o atrito que pode vir quando o transporte de código.

Por que os atacantes utilizando este método para espalhar Graboid? Como a maioria das aplicações tradicionais de proteção de endpoint não inspecionar os dados e atividades dentro do recipiente, a atividade maliciosa de Graboid poderia ser bastante difícil de detectar, os pesquisadores explicaram.

Como a operação maliciosa começar? Os operadores de Graboid primeiro ganhou o controle do daemons Docker inseguros, onde uma imagem Docker foi instalado pela primeira vez para ser executado no host comprometido. O próximo passo da operação foi de implantar o worm cryptojacking, baixados dos servidores de comando e controle, e começar a extrair para Monero. O worm também foi configurado para iniciar consultas para novos hospedeiros vulneráveis ​​do C&servidores C. Novos alvos podem ser escolhidos aleatoriamente, espalhando ainda mais o worm Graboid.

Nossos análise mostra que, em média, cada mineiro é activa 63% do tempo e cada período de mineração dura 250 segundos. A equipe Docker trabalhou rapidamente em conjunto com a Unidade 42 para remover as imagens maliciosos uma vez a nossa equipe alertado desta operação, segundo o relatório.

Note-se que, no momento da pesquisa foi escrita, a imagem Docker pocosow / centos foi baixado mais de 10,000 vezes e gakeaws / nginx – mais que 6,500 vezes. Os pesquisadores também notaram que o mesmo usuário (gakeaws) publicou outra imagem cryptojacking, gakeaws / mysql, que tem o conteúdo idêntico ao gakeaws / nginx.

relacionado: Sete maneiras de se proteger contra Cryptojacking

How to be protected against the Graboid worm?

The researchers have shared some general advice such as never exposing a docker daemon to the internet without authentication. Other tips include utilizing Unix socket to communication with Docker daemon locally or using SSH to connect to a remote Docker daemon.

Other security recommendations include:

  • Using firewall rules to whitelist the incoming traffic to a small set of sources;
  • Never pulling Docker images from unknown registries or unknown user namespaces;
  • Frequently checking for unknown containers or images in the system;
  • Deploying cloud security solutions such as Prisma Cloud or Twistlock to identify malicious containers and prevent cryptojacking activities.

No 2018, security researchers detected a malicious campaign which was spreading 17 malicious images via Docker Hub website. The website administrators were able to delete the malicious images 8 months after the first reports rolled out.

Avatar

Milena Dimitrova

Um escritor inspirado e gerenciador de conteúdo que foi com SensorsTechForum para 4 anos. Gosta de ‘Sr.. Robot’e medos‘1984’. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...