Ερευνητές από το Unit 42 έχουν αποκαλύψει ένα νέο cryptojacking worm που ονομάζεται ‘Graboid’ και έχει εξαπλωθεί σε πάνω από 2000 μη ασφαλή Docker host.
Περισσότερες λεπτομέρειες για το worm
Οι ερευνητές σημείωσαν ότι το Graboid είναι ο πρώτος ιός τύπου cryptojacking που εξαπλώνεται χρησιμοποιώντας containers στο Docker Engine.
- Οι επιτιθέμενοι πίσω από το Graboid κέρδισαν ένα αρχικό πάτημα μέσω των μη ασφαλισμένων Docker hosts, όπου εγκαταστάθηκε πρώτα μια εικόνα Docker.
- Μετά από αυτό, ο ιός τύπου cryptojacking αναπτύσσεται για την εξόρυξη σε Monero.
- Εν τω μεταξύ, ο ιός τύπου worm ελέγχει περιοδικά νέους ευάλωτους κεντρικούς υπολογιστές από το C& C server και επιλέγει τυχαία τον επόμενο στόχο.
Η εικόνα docker ‘pocosow / centos’ περιέχει ένα εργαλείο πελάτη docker που χρησιμοποιείται για την επικοινωνία με άλλους οικοδεσπότες του Docker. Επιπλέον, το ‘pocosow / centos’ χρησιμοποιείται για τη λήψη ενός σετ τεσσάρων script από το C&C server και την εκτέλεση τους.
Τα σενάρια των τεσσάρων script περιλαμβάνουν:
- ‘Live.sh’ – Αυτό το shell script στέλνει τον αριθμό των διαθέσιμων επεξεργαστών στον compromised host στον C & C server.
- Worm.sh’ – Αυτό το shell script κατεβάζει ένα αρχείο “IP” που περιέχει μια λίστα 2000+ IPs, επιλέγει τυχαίες IP ως στόχο και χρησιμοποιεί το εργαλείο docker για να τραβήξει και να αναπτύξει απομακρυσμένα το POSOSOW / centos container.
- ‘cleanxmr.sh’ – Αυτό το script σταματά τους cryptojacking containers και αλλούς containers με βάση το xmrig στο στόχο.
- ‘xmr.sh’ – Αυτό επιλέγει τυχαίους ευπαθείς κεντρικούς υπολογιστές από το αρχείο IP και μετατρέπει την εικόνα gakeaws / nginx στον κεντρικό υπολογιστή του στόχου.
Οι ερευνητές σημείωσαν ότι η εικόνα docker ‘pocosow / centos’ έχει κατεβεί περισσότερο από 10.000 φορές και η ‘gakeaws / nginx’ έχει κατεβάσει περισσότερες από 6.500 φορές.
Αξίζει να σημειωθεί
- Οι ερευνητές κατέληξαν στο συμπέρασμα ότι χρειάζονται περίπου 60 λεπτά για να φτάσει ο σκουλήκι στο σύνολο των 1.400 ευάλωτων host.
- Κατά μέσο όρο, υπάρχουν σχεδόν 900 ενεργά miners ανά πάσα στιγμή.
- Κατά μέσο όρο, κάθε miner είναι ενεργό το 63% του χρόνου και κάθε περίοδος εξόρυξης διαρκεί 250 δευτερόλεπτα.
Οι συστάσεις των ερευνητών
- Οι ερευνητές συστήνουν στους οργανισμούς να μην εκθέτουν ποτέ ένα δαίμονα docker στο Διαδίκτυο χωρίς έλεγχο ταυτότητας.
- Προτείνουν στους οργανισμούς να ελέγχουν περιοδικά για τυχόν άγνωστα containers ή εικόνες στο σύστημα.
- Είναι πάντα καλύτερο να χρησιμοποιήσετε την υποδοχή Unix για να επικοινωνήσετε τοπικά με το daemon του Docker ή χρησιμοποιήστε το SSH για να συνδεθείτε με ένα απομακρυσμένο docker δαίμονα.
- Συνιστάται να χρησιμοποιείτε κανόνες firewall για να επισημάνετε την εισερχόμενη κυκλοφορία σε μια μικρή σειρά πηγών.
“Ενώ αυτός ο ιός τύπου cryptojacking δεν περιλαμβάνει εξελιγμένες τακτικές, τεχνικές ή διαδικασίες, το worm μπορεί να τραβήξει περιοδικά νέα script από το C2s, έτσι ώστε να μπορεί εύκολα να μετατραπεί σε ransomware ή οποιοδήποτε κακόβουλο λογισμικό για να υπονομεύσει πλήρως τα hosts στη γραμμή. Εάν δημιουργηθεί ένας ισχυρότερο σκουλήκι για να ακολουθήσει μια παρόμοια προσέγγιση διείσδυσης, θα μπορούσε να προκαλέσει πολύ μεγαλύτερες ζημίες, γι ‘αυτό είναι επιτακτική ανάγκη οι οργανώσεις να προστατεύουν τα Docker hosts”, κατέληξαν οι ερευνητές.
