注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
一周十大热门主题
科技爱好者周刊#362:GitHub 工程师谈系统设计
全球95%企业AI惨败?MIT报告引硅谷恐慌!90%员工偷用ChatGPT续命
#AI落地项目合集##LLM实战项目大全#GitHub揽获62.-20250825145732
全球95%企业AI惨败?MIT报告引硅谷恐慌!90%员工偷用ChatGPT续命
即梦推出“智能多帧”功能,突破AI视频长镜头创作瓶颈;谷歌:Gemini每次回答消耗能量相当于微波炉...
上海交大团队研发HFML混合机器学习框架,定向筛选高熵钠电正极材料:从AI预测、实验验证到百公斤中试
GPT-5系统提示词被泄露,ChatGPT自己也“承认”了
GitHub Trending 日报【2025-08-22】
MIT最新报告:全球95%企业AI惨败!九成员工偷用ChatGPT续命
量化前沿速递:机器学习[20250824]
关注
Py学习  »  docker

你的Docker容器可能充满了Graboid加密蠕虫

Docker • 5 年前 • 929 次点击  

Docker成为了加密劫持蠕虫Graboid目标,该蠕虫是刚刚被发现并命名的。

根据Unit 42的研究人员称,该蠕虫旨在挖掘Monero加密货币,到目前为止,已经感染了2,000多台不安全的Docker引擎(社区版)主机,这些主机正在清理中。

根据Unit 42的数据,最初的恶意Docker镜像已被下载了10,000次以上,蠕虫自身已被下载了6,500多次。管理员可以通过镜像创建历史记录,查找名为“gakeaws / nginx”的镜像来发现感染。

攻击者通过不安全的Docker daemons获得了最初的立足点,该daemons首先安装了Docker镜像以在受感染的主机上运行。另外,攻击者无需任何身份验证或授权,即可完全控制Docker 引擎和主机。攻击者利用此入口点来部署和传播蠕虫。

一旦恶意Docker容器启动并运行,它将从15个C2服务器中的一个下载四个不同的脚本以及易受感染的主机列表。然后,它随机选择三个目标,将蠕虫安装在第一个目标上,在第二个受感染主机上停止安装挖矿,并在第三个也已被感染的目标上启动挖矿。

研究人员解释说:“这一程序导致了非常随机的挖矿行为。” “如果我的主机受到威胁,则恶意容器不会立即启动。取而代之的是,我必须等到另一位受到感染的主机选择我并开始我的挖掘过程。其他受到感染的主机也可以随机停止我的挖掘过程。本质上,每台受感染主机上的挖矿均由所有其他受感染主机随机控制。这种随机设计的动机尚不清楚。”

以下是更详细的分步操作:

  1. 攻击者选择了一个不安全的Docker主机作为目标,并发送远程命令来下载和部署恶意Docker镜像pocosow / centos:7.6.1810。该镜像包含用于与其他Docker主机进行通信的Docker 客户端工具。

  2. pocosow / centos容器中的入口点脚本/ var / sbin / bash从C2下载4个shell脚本,并一一执行。下载的脚本为live.sh,worm.sh,cleanxmr.sh和xmr.sh。

  3. live.sh将受感染主机上的可用CPU数量发送到C2。

  4. worm.sh下载文件“ IP”,其中包含2000多个IP的列表。这些IP是具有不安全docker API端点的主机。worm.sh随机选择一个IP作为目标,并使用docker客户端工具远程拉动和部署pocosow / centos容器。

  5. cleanxmr.sh从IP文件中随机选择一个易受攻击的主机,然后停止目标上的cryptojacking容器。cleanxmr.sh不仅会停止蠕虫部署的密码劫持容器(gakeaws / nginx),而且还会停止其他基于xmrig的容器(如果它们正在运行)。

  6. xmr.sh从IP文件中随机选择一个易受攻击的主机,然后在目标主机上部署镜像gakeaws / nginx。gakeaws / nginx包含伪装成nginx的xmrig二进制文件。


在每个受感染的主机上定期重复执行步骤1至步骤6。上一次已知的刷新间隔设置为100秒。启动pocosow / centos容器后,刷新间隔,shell脚本和IP文件都从C2下载。

在使用2000个潜在受害者池中的蠕虫进行模拟时,研究人员发现,蠕虫可以在一个小时内传播到1400个易受攻击主机中的70%。此外,每个矿工有63%的时间处于活动状态,每个挖矿期持续250秒;因此,在模拟中,在受攻击的1400个主机群集中,平均有900个矿工始终保持活跃。

虽然这种加密劫持蠕虫不涉及复杂的策略,技术或过程,但该蠕虫可以定期从C2提取新脚本,因此它可以轻松地将其自身重新用于勒索软件或任何恶意软件,以完全破坏主机,所以这不应被忽略。如果创建了一种更强大的蠕虫来采用类似的渗透方法,则可能造成更大的破坏,因此使用者必须保护其Docker主机。

以下是使用者可以防止受到攻击的措施:

  1. 如果没有适当的身份验证机制,切勿将docker daemons暴露在互联网。请注意,默认情况下,Docker Engine不会暴露于互联网。

  2. 使用Unix套接字在本地与Docker daemons进行通信,或者使用SSH连接到远程Docker daemons。

  3. 切勿从未知注册表或未知用户名称空间中提取Docker镜像。

  4. 经常检查系统中是否有未知的容器或镜像。


原文链接:https://www.freebuf.com/news/217163.html


Kubernetes入门与实战培训


Kubernetes入门与实战培训将于2019年11月22日在北京开课,3天时间带你系统掌握Kubernetes,学习效果不好可以继续学习。本次培训包括:Docker基础、容器技术、Docker镜像、数据共享与持久化、Docker实践、Kubernetes基础、Pod基础与进阶、常用对象操作、服务发现、Helm、Kubernetes核心组件原理分析、Kubernetes服务质量保证、调度详解与应用场景、网络、基于Kubernetes的CI/CD、基于Kubernetes的配置管理等等,点击下方图片或者阅读原文链接查看详情。

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/47688
Reply
 
929 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号