你的Docker容器可能正在被Graboid加密蠕虫攻击

    根据安全部门统计，恶意docker镜像已经被下载了超过1万多次，蠕虫被下载6千余次，根据Unit 42的研究工作人员称，该蠕虫旨在通过挖掘Monero加密数字货币。到目前中国为止，已经可以感染了2,000多台设备不安全的Docker引擎（社区版）主机，这些目标主机系统正在进行清理中我们可以通过镜像创建历史记录，查看 gakeaws / nginx”镜像，判断是否被感染。
    根据Unit 42的数据，最初的恶意Docker镜像已被下载了10,000次以上，蠕虫自身已被下载了6,500多次，管理员可以通过镜像创建历史记录找到名为“gakeaws / nginx的”来发现感染，攻击者通过不安全的Docker daemons守护进程获得了最初的立足点，daemons首先安装了Docker镜像，以在受感染的主机上运行， 此外，攻击者可以在没有任何身份验证或授权的情况下完全控制Docker引擎和主机。攻击者可以利用此入口点来进行部署和传播蠕虫。

    一旦恶意docker容器启动并运行，这将下载四个不同的脚本从15个 C2服务器上，以及容易受到感染的主机列表。 然后随机选择三个目标，在第一个目标上安装蠕虫，停止在第二个受感染的主机上安装挖矿，并开始在第三个也受感染的目标上挖矿。
    研究人员今天解释说：“这个过程导致了一种非常随机的采矿行为，如果我的主机被破坏，恶意容器不会立即启动。取而代之的是，我必须等到另一位受到严重感染的主机可以选择我并开始我的挖掘发展过程，其他受感染的主机也可以随机停止我的挖矿过程。从本质上讲，每台受感染主机上的挖矿程序都由所有其他受感染主机随机控制。这项随机设计的动机目前尚不清楚。”
    以下是更详细的分步进行操作：
    攻击者选择了一个不安全的Docker主机作为目标，并发送远程命令来下载和部署恶意Docker镜像pocosow / centos：7.6.1810。 此镜像包含Docker客户端工具，用于与其他Docker主机通信。
    pocosow / centos容器中的入口点脚本/ var / sbin / bash从C2下载4个shell脚本，并一一执行。下载的脚本是live.sh, worm.sh, cleanxmr.sh和xmr.sh。
    live.sh将受感染主机上的可用CPU数量发送到C2。

    worm.sh下载文件“ IP”，其中包含2000多个IP的列表，这些IP是不安全docker API的主机，worm.sh随机选择一个IP作为目标，并使用docker客户端工具远程拉动和部署pocosow / centos容器，cleanxmr.sh从IP文件中随机选择一个易受攻击的主机，然后停止目标上的cryptojacking容器，cleanxmr.sh不仅会停止蠕虫部署的密码劫持容器（gakeaws / nginx），而且还会停止其他基于xmrig正在运行的容器。
    xmr.sh从随机IP选择一个漏洞的主机文件，并部署镜像gakeaws / nginx。gakeaws / nginx在目标主机上，包含伪装成nginx的xmrig二进制文件。
    每个受感染的主机上定期重复执行步骤1至6，已知的刷新间隔为100秒，启动pocosow / centos容器后，shell脚本和IP文件都会从C2下载。
    在使用2000个潜在影响受害者池中的蠕虫技术进行分析模拟时，研究工作人员发现，蠕虫可以在一个比较小时内传播到1400个易受攻击目标主机中的70％，此外，每个矿工时间有63％是活动的，每个开采期持续250秒;因此，在模拟中，在集群中的1400台主机的攻击，900名矿工的平均保持活跃。
    此劫持蠕虫不涉及复杂的策略、技术、传播过程，但该蠕虫可以定期从C2中提取新脚本，因此它可以轻松地将其自身重新用于勒索软件或任何恶意软件， 如果创建一个更强大的蠕虫病毒来采用类似的渗透方法，它可能会造成更大的损害，因此用户必须保护其Docker主机。
    用户可采取以下措施防止攻击：
    如果没有适当的身份验证机制，切勿将docker守护程序暴露给互联网。默认情况下，Docker Engine不会暴露于互联网，使用Unix 套接在本地Docker daemon通信，或使用SSH连接到远程Docker daemon，切勿从未知注册表或未知用户空间中提取Docker映像，经常检查系统中是否有未知的容器或镜像。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！