密码窃取蠕虫利用Docker感染2000多个系统来秘密窃取Monero

帕洛阿尔托网络公司的威胁情报小组42号称，研究人员首次发现了一种新的密码劫持蠕虫，它通过恶意的Docker图像传播。

这种被称为“地堑”的蠕虫病毒感染了恶意软件，这些恶意软件在随机传播到下一个目标之前，暗中滥用这些系统来挖掘专注于地雷的加密货币莫内罗(Monero)。

Docker是Linux和Windows的一种流行的服务平台(PaaS)解决方案，允许开发人员在包含的虚拟环境(称为“容器”)中部署、测试和打包他们的应用程序，方法是将服务与他们运行的主机系统隔离开来。

它也类似于虚拟机，但与虚拟机不同的是，容器不需要整个虚拟操作系统。相反，它使应用程序能够共享相同的系统资源，并且只随运行所需的组件一起运送，从而减少了它们的总体大小。

经过单元42的警告，Docker从Docker Hub删除了恶意映像--一个运行在操作系统之上的预先配置的应用程序的可共享的“数字快照”。Docker Hub是一个代码库，下载次数超过16，000次。

随着企业越来越多地迁移到云，研究强调需要将容器主机从未经授权的访问中安全，因为大多数端点安全保护软件往往不会检查容器中的恶意代码。

“我们继续看到，如果未能正确配置容器会导致敏感信息的丢失，因此，默认配置可能是组织的重大安全风险，”42单元的高级云漏洞和利用研究人员JayChen告诉TNW。

第42单元说，上个月末，在通过Shodan发现的几个不安全的Docker主机上出现了相同的恶意图像之后，它发现了这种蠕虫病毒。

一旦远程部署和安装，受污染的容器映像--也包括一个与其他主机联系的程序--连接到远程命令和控制服务器，定期查询易受攻击的主机，并随机选择一个目标来传播蠕虫。

“我们越来越担心，攻击者将继续利用这些问题，在未修补的情况下，通过逃离集装箱并在集装箱主机上获得持久力，传播他们的足迹，”陈告诉TNW，“我们肯定可以做更多的工作来保护他们的安全。”

他补充说：“这些恶意图像中有许多是伪装成其他流行的容器图像，同时还包含一个后门，有时保留原始图像的功能，以避免被检测到。”

“威胁”行为者利用这种方式利用了2,034个脆弱的主机，他说，57.4%的IP地址来自中国，其次是来自美国的13%，平均有900名在职矿工在任何给定的时间点。

这远远没有网络罪犯利用集装箱结构来安装密码挖掘恶意软件。

来自TrendMicro和Impacova的先前披露发现，暴露的Docker主机是在密码顶进操作中的一个主动滥用的攻击表面，它利用Shoidan发现并感染更多的受害者。

不仅仅是Docker，在其他PaaS系统上也发现了暴露主机的相似实例，包括最初由Google设计的开源容器管理软件Kubernetes。

“我们还没有在Kubernetes中观察到这种特定的蠕虫，但今年早些时候，我们的研究发现，全世界大约有20353个Kubernetes(容器)在默认配置下工作，”Chen告诉TNW。

“这并不一定意味着这些平台容易受到攻击，但它表明，看似基本的错误配置实践大量存在，而且随着攻击的不断发展，它将使组织成为进一步妥协事件的目标。”

尽管Graboid的策略和技术并不特别复杂，但是“它可以很容易地将自己重新定位到赎金软件或任何恶意软件上，从而使主机完全妥协，”42单元指出。

因此，组织必须保护其Docker主机的安全，监视网络流量是否存在可疑连接，最重要的是不要从未知来源下载Docker图像。

“随着组织云足迹的增长，能够自动建模和白名单应用程序行为成为保护云工作负载免受攻击和妥协的强大工具，”Chen说。