作者: Palo Alto Networks（派拓网络）威胁谍报团队Unit 42

最新博文摘要如下:

Palo Alto Networks （派拓网络）威胁谍报团队Unit 42近日公布发表发明一种新型加密挖矿蠕虫病毒，已有2000多台Docker主机因掩护不力而受到传染。Unit 42将该病毒定名为Graboid，是向90年代影戏《异形魔怪》致敬，其行为与影戏中的沙虫相类似，移动速度较快但总体来讲相对鸠拙。
 
尽管也产生过以蠕虫病毒形式流传的加密挖矿恶意事件，但这是我们初度在Docker Engine（社区版）中发明借助容器流传的加密挖矿蠕虫病毒。由于大都传统端点防护软件都不检测容器内的数据和勾当，因此很难发明这一类型的恶意勾当。打击者首先通过不安适的Docker Daemon站稳脚跟，然后在受传染的主机上安置一个Docker镜像并运行。恶意软件从C2处事器上下载并部署完毕后，便开始挖矿寻找门罗币。别的，恶意软件会按期从C2处事器搜索新的带有缝隙的主机，然后随机选择下一个方针进行流传。我们的阐颁发白，挖矿病毒平均有63％的时间处于活跃状态，每个挖矿周期连续250秒。在Unit 42向Docker团队传递该情况后，Docker团队便迅速与Unit 42团队联手删除这些恶意镜像。

容器化加密挖矿蠕虫病毒
 

图1. 加密挖矿蠕虫病毒勾当概览

 
Shodan的快速查询拜访显示，有2,000多个Docker Engine以不安适的方法袒露于互联网。无需任何身份验证或授权，打击者就可以完全控制Docker Engine（社区版）和主机。恰恰是抓住了这一入口，打击者才会部署并流传这一蠕虫病毒。图1标明了该恶意软件的分发和流传方法。打击者入侵了一个未受掩护的Docker daemon，运行从Docker Hub中提取的恶意Docker容器，从C2处事器下载一些脚本和易受打击的主机列表，并重复拔取下个方针流传蠕虫。我们称为“Graboid”的恶意软件在容器内进行蠕虫流传和加密挖矿。它在每次迭代中随机选择三个方针，在第一个方针上安置蠕虫，在第二个方针上遏制挖矿，在第三个方针上启动挖矿。这种行为导致挖矿行为极度随机。如果我的主机被入侵，恶意容器不会当即启动。相反，我必需等到另一台受传染的主机选择我的主机并启动我的挖矿过程。其他受传染的主机也可以随机遏制我的挖矿过程。从素质上讲，每台受传染主机上的挖矿措施都由所有其他受传染主机随机控制。这种随机设计的动机尚不清楚，有可能是因为设计不当，规避技术（效果欠安），自我维持的系统或其他目的。

以下为具体操纵法式：
 
1.     打击者拔取某个不安适的docker主机作为打击方针，然后长途颁布指令下载并部署恶意Docker镜像pocosow/centos:7.6.1810. 该镜像含有一个用来与其他Docker主机通信的 docker client工具
 
2.     pocosow/centos 容器中的入口脚本/var/sbin/bash会从C2处事器下载4个shell脚本并逐个运行，这4个脚天职别是live.sh, worm.sh, cleanxmr.sh, xmr.sh
 
3.     脚本live.sh将被打击主机上的可用CPU数量发送至C2处事器
 
4.     脚本worm.sh下载一个名为“IP”的文档，此中包罗2000多个IP地点。这些IP地点等于那些有着不安适的docker API端点的主机。Worm.sh随机拔取一个IP地点作为打击东西，使用docker client工具长途获取并部署pocosow/centos container容器
 
5.     脚本cleanxmr.sh随机拔取IP文件中某个带有缝隙的主机，终止其上的加密挖矿容器。cleanxmr.sh终止的不只是蠕虫部署的加密挖矿容器(gakeaws/nginx)，也包罗少数处于运行状态的xmrig容器
 
6.     脚本xmr.sh随机拔取IP文件中某个带有缝隙的主机，然后将镜像gakeaws/nginx部署于方针主机之上。gakeaws/nginx含有伪装成为nginx的二进制xmrig
 
 
法式1-6每隔一段时间便会在每个受传染的主机上重复执行，刷新间隔时间设定为100秒。pocosow/centos 容器部署后，刷新间隔时间、shell脚本以及IP文档就会从C2处事器上下载。
 
在写入期间，如图2所示，Docker镜像pocosow/centos下载次数赶过10000次，而gakeaws/nginx也赶过6500次。别的，我们还注意到，同一个用户(gakeaws)颁布了此外一个加密挖矿镜像gakeaws/mysql，其和gakeaws/nginx内容不异。只有在shell脚本下载并在容器内运行后，pocosow/centos镜像的不良企图才会被察觉。但通过其镜像创建历史，我们也可以轻松发明gakeaws/nginx 镜像的恶意企图。如图3所示，其只在创建时间栏（第7行）里将二进制xmrig从头定名为nginx。即便如此在创建时间里（第7行）付款地点也以硬编码的形式来应对不停变革的环境。
 
图4显示了IP地点文件中列出的2,034个易受打击的主机位置——57.4%的IP地点来自中国，其次有13%来自美国。我们还注意到，在恶意软件使用的15台C2处事器中，有14台主机列在IP地点文件中，剩下的那1台主机有50多个已知缝隙。这表白打击者可能粉碎了这些主机并将其用作C2处事器。通过对Docker daemon的控制，可以轻松部署Web处事器容器（例如httpd、nginx）并将有效负载安排其上。
 

图2. Docker Hub上恶意Docker镜像

 

图3. gakeaws/nginx的镜像历史