易受挖矿病毒Graboid感染的主机半数位于中国

安全公司Palo Alto Networks（派拓网络）威胁情报小组Unit 42发现一种新型的Graboid挖矿绑架病毒，目前已知这个蠕虫已经感染了超过2,000台不安全的Docker主机，Unit 42将该病毒命名为Graboid。

尽管也发生过以蠕虫病毒形式传播的加密挖矿恶意事件，但这是我们首次在Docker Engine（社区版）中发现借助容器传播的加密挖矿蠕虫病毒。由于多数传统端点防护软件都不检测容器内的数据和活动，因此很难发现这一类型的恶意活动。攻击者首先通过不安全的Docker Daemon站稳脚跟，然后在受感染的主机上安装一个Docker镜像并运行。恶意软件从C2服务器上下载并部署完毕后，便开始挖矿寻找门罗币。此外，恶意软件会定期从C2服务器搜索新的带有漏洞的主机，然后随机选择下一个目标进行传播。

整个攻击链从攻击者在公共网络中选定一个不安全的Docker守护行程（Daemon）开始，在上面执行从Docker Hub拉取的恶意镜像容器，并且从C2服务器下载一些脚本以及容易受攻击的主机列表，接着挑选下一个攻击目标以传播蠕虫。Graboid会在容器中进行挖矿以及散布蠕虫，每次迭代Graboid随机挑选三个目标，在第一个目标安装蠕虫，停止第二个目标的矿工行动，并在第三个目标上启动矿工，而这样的机制让采矿行为变得非常随机。

也就是说，当被害者主机被感染时，恶意容器并不会立刻启动，必须要等待另外一个受感染主机的信号挖矿程序才会被启动，而正在挖矿的主机也会随机接收到其他受感染的主机停止挖矿的信号。

每台受感染主机的矿工都由其他受感染的主机随机控制，研究人员表示，他们不清楚这种随机控制的设计动机，因为以规避侦测的角度来看，这样的机制效果不佳，比较可能是设计不良或是有其他的目的。

研究团队分析了蠕虫使用的主机列表，其中包含2,034台易受攻击的主机，57.4％的IP来自中国，而13％位于美国，在Graboid使用的15台C2服务器中，主机列表中列了其中的14台，这表示攻击者会控制易受感染主机的Docker守护行程，在上面安装网页服务器容器，并将恶意载体放在上面。

Graboid攻击会使用到的Docker镜像pocosow/centos已经被下载超过一万次，而gakeaws/nginx也已经被下载6,500次，Unit 42发现gakeaws还发布了另一个挖矿绑架镜像gakeaws/mysql，其内容与gakeaws/nginx相同。

尽管这种加密挖矿蠕虫病毒并不涉及复杂的战术、技术或过程，但它可以定期从C2服务器提取新脚本，因此可以轻松将其自身改造成为勒索软件或任何恶意软件，以彻底破坏主机，需引起重视。如果更强大的蠕虫出现并采用类似的传播方式，将会造成更大的破坏，因此必须保护其Docker主机。

防护建议：

· 如果没有合适的认证机制，切勿在互联网公开Docker daemon。请注意，缺省情况下，Docker Engine（社区版）不会暴露于互联网

· 使用Unix socket实现与Docker daemon的本地通信，或使用SSH连接到远程Docker daemon。

· 使用防火墙规则将流入较小资源的流量列入白名单

· 切勿从未知注册表或未知用户名称空间提取Docker镜像

· 经常检查系统中是否有未知的容器或镜像

· Prisma Cloud或Twistlock等云安全解决方案可以识别恶意容器并阻止加密采矿等活动

关注必势得公众号，获取更多资讯

—-

编译者/作者：必势得云算力

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。