​错误配置的Docker服务被用于加密货币挖矿

栏目: 编程工具 · 发布时间: 6年前

内容简介:攻击者在寻求一种容易的方式来进行加密货币挖矿,所以目标锁定为公开暴露的Docker服务。攻击者使用一个可以扫描网络的恶意脚本来搜索有漏洞的主机并入侵主机。攻击入口是TCP 2375/2376端口,这两个端口是通过REST管理API远程到达Docker服务的默认端口,允许创建、开启和停止容器。除非进行其他配置,否则这两个端口都提供非加密和非认证的通信。Docker容易在实践中使用非常广泛,因为允许在操作系统级实现虚拟化。允许在轻量级的虚拟环节中运行应用,完成所有需要的依赖。

攻击者在寻求一种容易的方式来进行加密货币挖矿,所以目标锁定为公开暴露的 Docker 服务。攻击者使用一个可以扫描网络的恶意脚本来搜索有漏洞的主机并入侵主机。

攻击入口是TCP 2375/2376端口,这两个端口是通过REST管理API远程到达Docker服务的默认端口,允许创建、开启和停止容器。除非进行其他配置,否则这两个端口都提供非加密和非认证的通信。

living off the land

Docker容易在实践中使用非常广泛,因为允许在操作系统级实现虚拟化。允许在轻量级的虚拟环节中运行应用,完成所有需要的依赖。

Juniper Networks的研究人员发现网络犯罪分析正利用错误配置的Docker服务来添加运行Monero挖矿脚本的容器。

感染会通过目标系统已有的脚本和 工具 自动传播,这也叫做“living off the land”。包括Docker, wget, cURL, Bash, iproute2, MASSCAN, apt-get, yum, up2date, pacman, dpkg-query和systemd。

​错误配置的Docker服务被用于加密货币挖矿

一旦攻击者到达有漏洞的Docker主机,就会开启容器,并运行命令来下载和启动auto.sh,该脚本可以帮助扩展攻击行动。同时会检查系统的特定package,下载缺失的package来继续攻击其他主机。

​错误配置的Docker服务被用于加密货币挖矿

auto.sh通过执行MoneroOcean挖矿脚本来执行Monero挖矿工作。挖矿脚本在Github上是公开的,但攻击者下载的是一个位于Pastebin的变种。

在扫描受感染主机连接的网络子网后,跳转到其他主机就非常有可能了。错误配置的Docker daemons的IP地址保存在文本文件中,由test.sh和test3.sh脚本进行处理。目的就是在列表上的每个IP地址进行循环,并且用Docker的客户端工具连接到远程主机。

这些脚本都位于同一个服务器上。同时,该服务器上还有一个名为xm的加密货币挖矿工具,VirusTotal有24个反病毒引擎将其标记为恶意的。

​错误配置的Docker服务被用于加密货币挖矿

这也不是auto.sh脚本第一次被用于加密货币劫持。

转向TLS

通过TLS通信可以安全的到达Docker。这是可能的因为开启了tlsverify flag,并为tlscacert flag定义了可信证书。这样设置后,Docker daemon就只以接受可信证书认证的连接。在客户端模式下(client mode),Docker只连接到证书可信的服务器。

与云计算的能力结合后,暴露到公网的服务可以看做是送给攻击者的礼物。加密货币挖矿是攻击者滥用容器的风险之一,其他风险还包括发起DDOS攻击和传播恶意软件等。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

组合数学

组合数学

Richard A.Brualdi / 机械工业出版社 / 2009-3 / 49.00元

《组合数学(英文版)(第5版)》英文影印版由Pearson Education Asia Ltd.授权机械工业出版社独家出版。未经出版者书面许可,不得以任何方式复制或抄袭奉巾内容。仅限于中华人民共和国境内(不包括中国香港、澳门特别行政区和中同台湾地区)销售发行。《组合数学(英文版)(第5版)》封面贴有Pearson Education(培生教育出版集团)激光防伪标签,无标签者不得销售。Englis......一起来看看 《组合数学》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

随机密码生成器
随机密码生成器

多种字符组合密码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具