容器“僵尸爆发”：Docker容器遭新型自复制Dero挖矿病毒攻击

卡巴斯基实验室发现一起新型恶意软件攻击活动，该攻击将暴露的Docker容器转化为可自我复制的Dero加密货币挖矿机，且无需依赖命令控制服务器(C2)即可运行。

报告开篇描述："想象一场容器僵尸爆发——单个受感染容器会扫描互联网寻找暴露的Docker API...入侵正在运行的容器，将其转化为新的'僵尸'来挖掘Dero币，并继续'咬噬'新受害者"

Part01

恶意软件双重攻击组件

卡巴斯基在入侵评估中发现，该攻击包含两个用Go语言编写的核心组件：

• nginx：伪装成知名Web服务器的传播蠕虫

• cloud：定制化Dero挖矿程序，内含加密硬编码的钱包和节点配置

四步入侵流程

当攻击者发现未安全配置的Docker API时，恶意软件将执行以下操作：

1. 通过启动恶意容器劫持主机

卡巴斯基警告称："该恶意软件无需C2连接，只要存在可被利用的不安全Docker API，就能持续维持其攻击活动"

隐蔽持久化技术

nginx二进制文件在执行恶意例程时伪装成合法程序，甚至将其操作日志（包括受感染IP和容器状态）记录到/var/log/nginx.log文件中。

恶意软件还会在受感染容器内创建并监控version.dat文件，既避免重复感染又确保持久化。若cloud挖矿进程停止，nginx会立即重启该进程，持续占用容器资源进行挖矿。

报告指出："nginx样本会执行main.monitorCloudProcess函数...确保名为cloud的Dero挖矿程序持续运行"

大规模扫描感染机制

通过masscan工具，恶意软件会生成并扫描随机/16 IPv4子网，寻找暴露2375端口的Docker主机。发现目标后即执行类似命令：docker -H run -dt --name --restart always ubuntu:18.04 /bin/bash

随后在新容器中安装masscan、docker.io及自身组件，建立新的挖矿节点。卡巴斯基解释："扫描器通过masscan -p 2375 -oL -- --max-rate 360命令寻找互联网上暴露的不安全Docker API..."

技术溯源与基础设施

Dero挖矿程序改编自开源项目DeroHE CLI，使用UPX加壳，并采用AES-CTR加密保护钱包和节点配置。解密后研究人员提取出钱包地址：

dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y及节点域名：d.windowsupdatesupport[.]link和h.wiNdowsupdatesupport[.]link

值得注意的是，该基础设施此前曾出现在Kubernetes加密劫持攻击中，表明威胁组织正在复用基础设施并进化攻击手法。

全球威胁态势

根据报告中引用的Shodan数据，截至2025年4月，全球至少有520个Docker API在2375端口公开暴露。报告警告："这凸显了所述威胁的潜在破坏性后果，强调必须加强容器监控与保护措施"

卡巴斯基总结称："虽然针对容器的攻击不如其他系统频繁，但其危险性毫不逊色。"

推荐阅读

电台讨论