近年来云原生容器的应用越来越流行,统计数据显示高达47%生产环境容器镜像会来源于公用仓库[1],Docker Hub作为全球最大的公共容器镜像仓库,已然成为整个云原生应用的软件供应链安全重要一环,其镜像的安全风险问题对生态影响尤为重要。腾讯安全云鼎实验室针对云原生容器安全进行了长期研究投入,对Docker Hub的镜像安全风险建立了长期监控和安全态势分析。近期监测到一个较大的挖矿黑产团伙anandgovards(挖矿账户中包含了这个邮箱账号),利用Docker Hub上传特制挖矿镜像,通过蠕虫病毒快速感染docker主机,进而下载相关镜像进行挖矿。该黑产团伙从2020年6月开始使用3个Docker Hub账户制作了21个恶意镜像,累计下载传播量达到342万,获取了不低于313.5个门罗币,获利高达54万多人民币。
针对该黑产团伙anandgovards,我们通过对Docker Hub的安全监控和分析暂时发现3个相关账户,共涉及21个镜像,其中最高的下载量达到百万。通常黑产通过蠕虫病毒感染docker主机,入侵成功后,再自动下拉这些黑产镜像到本地运行进行挖矿获利。
该黑产相关3个账户名为abtechbed、svagamx、srinivasram,其中srinivasram相关镜像申请日期为2020年5月,abtechbed相关镜像的申请日期为2020年6月到2020年12月,svagamx相关镜像申请日期为2021年4月16日。挖矿账户活跃到2021年5月,挖矿活动持续时间长达一年。
abtechbed账户中的镜像信息:
srinivasram账户中的镜像信息:
svagamx账户中的镜像信息:
下表提供了此Docker Hub帐户下部分镜像下载量及钱包地址,镜像最高下载量达到了157万次。
镜像名称 | 日期 | 下载量 |
钱包地址 |
srinivasram/xmrpvks | 2020/5/31 | 1573451 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
srinivasram/koldspras | 2020/6/12 | 417460 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
abtechbed/opasexbeios | 2020/6/25 | 114292 | 845m1WkCQgtCAjvdvfRje75p4VNGWckPY6msfmzjkmYc6nW8huLxD3UAAx3E46J8oR7ZMouoG4fDBBEFNeKKvTjTCKSA6dp |
abtechbed/lgrnambs | 2020/7/9 | 900 | 49Nk13Fwp3i4s2CcWWXRUdTid4EbTnzBzefKkU8ZgRFKV5i8jEwCLUe1tbHmnr7s2UUfLLdqZsHHXSC4xRUzc2aQEv2aPjc |
abtechbed/hekosrased | 2020/7/14 | 31537 | 845m1WkCQgtCAjvdvfRje75p4VNGWckPY6msfmzjkmYc6nW8huLxD3UAAx3E46J8oR7ZMouoG4fDBBEFNeKKvTjTCKSA6dp |
abtechbed/vrdmensectu | 2020/8/11 | 107603 |
DBFMyskAQXrVctB4RRZ4WZTgWDCQvPBBQe |
abtechbed/geasirikolode | 2020/12/15 | 1129885 | 475VnaLis8a8DCVc8ApzbW4iMYF4wu5ibN32BWCG5QQKX1igeZKRTRnRRtJ39pYpm4GNVtaJ7v2vkje7MmFQB4qu2eEoUaU |
abtechbed/haermakobja | 2020/12/18 | 8424 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
svagamx/berdac | 2021/4/16 | 8509 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
svagamx/sarnem | 2021/4/21 | 22513 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
svagamx/wrmasec | 2021/4/21 | 7515 | 49Nk13Fwp3i4s2CcWWXRUdTid4EbTnzBzefKkU8ZgRFKV5i8jEwCLUe1tbHmnr7s2UUfLLdqZsHHXSC4xRUzc2aQEv2aPjc |
svagamx/medasnys | 2021/5/5 | 5500 | 4AJifhXDLEb6G8BRqWjQ5sT7XbRb47dUMai1WxNS765NixTpAL771ekW6jZBzDNYUiG4s3wBcUJLSSaFJ3RWDgbnL6B8oxJ |
srinivasram/xmrpvks | 2020/5/31 | 1573451 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
srinivasram/koldspras | 2020/6/12 | 417460 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
abtechbed/opasexbeios | 2020/6/25 | 114292 | 845m1WkCQgtCAjvdvfRje75p4VNGWckPY6msfmzjkmYc6nW8huLxD3UAAx3E46J8oR7ZMouoG4fDBBEFNeKKvTjTCKSA6dp |
abtechbed/lgrnambs | 2020/7/9 | 900 | 49Nk13Fwp3i4s2CcWWXRUdTid4EbTnzBzefKkU8ZgRFKV5i8jEwCLUe1tbHmnr7s2UUfLLdqZsHHXSC4xRUzc2aQEv2aPjc |
abtechbed/hekosrased | 2020/7/14 | 31537 | 845m1WkCQgtCAjvdvfRje75p4VNGWckPY6msfmzjkmYc6nW8huLxD3UAAx3E46J8oR7ZMouoG4fDBBEFNeKKvTjTCKSA6dp |
abtechbed/vrdmensectu | 2020/8/11 | 107603 |
DBFMyskAQXrVctB4RRZ4WZTgWDCQvPBBQe |
abtechbed/geasirikolode | 2020/12/15 | 1129885 | 475VnaLis8a8DCVc8ApzbW4iMYF4wu5ibN32BWCG5QQKX1igeZKRTRnRRtJ39pYpm4GNVtaJ7v2vkje7MmFQB4qu2eEoUaU |
abtechbed/haermakobja | 2020/12/18 | 8424 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
svagamx/berdac | 2021/4/16 | 8509 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
svagamx/sarnem | 2021/4/21 | 22513 | 8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg |
svagamx/wrmasec | 2021/4/21 | 7515 | 49Nk13Fwp3i4s2CcWWXRUdTid4EbTnzBzefKkU8ZgRFKV5i8jEwCLUe1tbHmnr7s2UUfLLdqZsHHXSC4xRUzc2aQEv2aPjc |
svagamx/medasnys | 2021/5/5 | 5500 |
4AJifhXDLEb6G8BRqWjQ5sT7XbRb47dUMai1WxNS765NixTpAL771ekW6jZBzDNYUiG4s3wBcUJLSSaFJ3RWDgbnL6B8oxJ |
(1)黑产团伙来源:
在挖矿的账户配置中,我们发现两个邮件账户信息,
anandgovards@gmail.com
visranpaul@outlook.com
包括Docker Hub账户名,abtechbed、svagamx、srinivasram字符和爱尔尼亚、冰岛语系。我们有理由相信,这个黑产组织来自欧洲。
(2)黑产团伙关联
云鼎实验室通过安全大数据图计算引擎,关联分析了大约10万个镜像信息,关联分析其中钱包ID、镜像账号、矿池等信息,发现abtechbed、svagamx,srinivasram使用了同一个挖矿钱包地址,表明这几个镜像账户属于同一个黑产组织。
(3)黑产攻击流程及盈利方式:
黑产通过蠕虫病毒进行大规模感染docker主机,之后被感染的docker主机从Docker Hub下拉相关挖矿镜像到本地运行,进行挖矿获利。
相关流程图如下:
相关门罗币账户在2021年5月份依然活跃,累计收入最多的账户是
8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg,钱包收入232个门罗币,价值约为405,025人民币。
恶意镜像的下载量可以一定程度表示相关蠕虫的攻击趋势,实验室通过安全监测发现2020年下半年,针对docker容器的相关蠕虫攻击趋势增长十分明显,2020年5月份、12月份上传的恶意镜像下载量达到百万,但2021年4月份新上传的恶意镜像下载量却有限,表明4月份到现在,相关蠕虫病毒的攻击范围和影响范围正在缩小。
随着容器应用发展加速,频繁爆出容器相关的安全事件,黑产团伙通过容器服务器的漏洞传播的蠕虫病毒,通过下拉挖矿镜像进行获利,已然是现阶段容器相关黑产的主流手段。除了下载挖矿镜像以外,现有的模式可以轻松将挖矿镜像替换成其他恶意软件,造成更大的破坏。
当企业在享受云原生带来的技术红利时,也应该重视和建立起容器安全防护体系。以下是一些容器应用的安全建议:
避免使用Docker过程中将2375端口暴露公网;
公网中使用TLS的docker remote api;
不推荐下载和使用未知来源的镜像;
经常检查系统中是否存在异常未知镜像或容器;
使用腾讯云容器安全解决方案可以识别恶意容器并阻止恶意挖矿等活动:
https://cloud.tencent.com/product/tcss
腾讯安全持续在容器安全上进行投入和相关研究,构建了完整的容器安全防护和服务保障体系,针对容器环境下的安全问题,腾讯云容器安全服务通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全,为企业提供镜像扫描、运行时安全检测(容器逃逸、反弹shell、文件查杀等)、高级防御(进程检测、访问控制、高危系统调用等)、安全基线检测、资产管理等安全防护功能,帮助企业及时发现容器安全风险并快速构建容器安全防护体系。
Docker Hub染毒镜像内置的挖矿木马威胁数据已加入腾讯安全威胁情报,赋能给腾讯全系列安全产品,企业客户通过订阅腾讯安全威胁情报产品,可以让全网所有安全设备同步具备和腾讯安全产品一致的威胁发现、防御和清除能力。
腾讯安全威胁情报中心检测到此次供应链攻击活动国内亦有不少受害云主机,腾讯安全专家建议政企机构公有云系统通过部署腾讯云防火墙、腾讯主机安全(云镜)等产品检测防御相关威胁。
腾讯主机安全(云镜)支持检测清除Docker Hub染毒镜像内置的挖矿木马,客户可登录腾讯云->主机安全控制台,检查病毒木马告警信息,将恶意木马一键隔离或删除。
腾讯云防火墙支持阻断Docker Hub染毒镜像内置挖矿木马连接矿池,腾讯云防火墙内置虚拟补丁防御机制,可积极防御某些高危且使用率很高的漏洞利用。
参考文献
[1] https://dig.sysdig.com/c/pf-2021-container-security-and-usage-report?x=u_WFRi&utm_source=gated-organic&utm_medium=website
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
