看看網路罪犯如何利用Docker容器進行加密貨幣挖礦
至頂網軟體頻道訊息: 網路犯罪分子們正在逐漸放棄勒索軟體,轉而使用加密貨幣惡意軟體。
這些惡意軟體的變種被稱為加密劫持,它們會掠奪受感染機器的CPU,以竊取算力進行虛擬貨幣挖礦,如以太坊(ETH)和Monero(XMR),然後將挖到的虛擬貨幣傳送到攻擊者控制的錢包。
問題正在變得越來越普遍。最近,已經有一些加密劫持的罪犯被判刑,一些大學關閉了網路以停止加密貨幣挖礦操作,路由器成了加密劫持的奴隸,有三分之一的組織報告遭到了加密劫持攻擊。
Docker容器是標準的軟體單元,它將程式碼以及它們連結的所有依賴項打包,以提高應用程式從一個計算環境轉移到另一個計算環境的速度。
這些輕量級工具可以是應用程式“開發到部署”生命週期中非常有用的工具,就Docker而言,已經有超過350萬個應用程式通過這樣的技術放置在容器之中。
然而,在Docker越來越受到IT專業人士的歡迎的同時,網路犯罪分子也正在探索如何利用容器技術來實現自己的目的。
來自Threat Stack的研究人員向ZDNet介紹了這些犯罪分子是如何對企業使用的容器進行加密劫持的。
這些研究人員表示,攻擊的第一階段是識別出易受遠端程式碼注入攻擊的前端系統和網站。通過應用程式層傳送一個命令——通常通過操控域上的文字欄位或通過網站URL中的公開API進行,或者利用“探測程式碼參考網站上常見的嵌入式shell控制檯”。
然後,注入的程式碼過濾到後端作業系統,最終找到通往容器環境的路徑。
當容器開始工作時,攻擊的第二階段也拉開了序幕。在最近發現的攻擊中,程式碼被執行並且命令被直接傳送到Docker容器中的shell。
Threat Stack表示:“雖然受限於容器對主機作業系統的簡化檢視,但攻擊者現在可以任意執行不受信任的程式碼了。”
在第三階段,通過wget命令下載加密挖礦惡意軟體。在迄今為止觀察到的攻擊中,CNRig已被用於感染機器。
有效負載使用CryptoNight演算法,該演算法是用C ++編寫的,並且與Linux CPU相容。基於XMRig Monero,CNRig還包含自動更新功能。
Threat Stack表示,此階段的速度表明自動指令碼已就位以執行有效負載,隨後更改CNRig可執行檔案的許可權,以確保其執行時無需進一步的身份驗證。
加密劫持有效負載耗盡了/ tmp目錄。
然後CNRig將嘗試建立三個連線;兩個用於在受感染的計算機和攻擊者的礦池之間建立一條安全通道,另一個用於CDN。但是,在目前記錄的案例中,由於網路層保護和防火牆的存在,這些嘗試並不總是能夠成功。
Threat Stack對ZDNet表示,該公司已經發現“越來越多的攻擊者已經開始瞄準像Docker這樣的容器編排工具,而且隨著更多的組織開始部署使用容器,這種趨勢估計會持續下去。”
攻擊向量很有趣,但並沒有立即顯示出與加密劫持有關。但是,可是一旦“挖”到了虛擬貨幣,攻擊者往往就會證明自己足智多謀,而且富有創新精神。
為了保護自己免受這些威脅,該公司表示企業使用者應該確保底層檔案不能從容器中寫入;CPU消耗設定軟限制和硬限制,並且應啟用警報,在啟動互動式shell時報警。