容器化加密挖矿蠕虫病毒
时间:2022-03-17 14:21:01 | 来源:行业动态
时间:2022-03-17 14:21:01 来源:行业动态
图1 加密挖矿蠕虫病毒活动概览
Shodan的快速调查显示,有2000多个Docker Engine以不安全的方式暴露于互联网。无需任何身份验证或授权,攻击者就可以完全控制Docker Engine(社区版)和主机。恰恰是抓住了这一入口,攻击者才会部署并传播这一蠕虫病毒。图1标明了该恶意软件的分发和传播方式。攻击者入侵了一个未受保护的Docker daemon,运行从Docker Hub中提取的恶意Docker容器,从C2服务器下载一些脚本和易受攻击的主机列表,并反复选取下个目标传播蠕虫。我们称为Graboid的恶意软件在容器内进行蠕虫传播和加密挖矿。它在每次迭代中随机选择三个目标,在第一个目标上安装蠕虫,在第二个目标上停止挖矿,在第三个目标上启动挖矿。这种行为导致挖矿行为极度随机。如果我的主机被入侵,恶意容器不会立即启动。相反,我必须等到另一台受感染的主机选择我的主机并启动我的挖矿过程。其他受感染的主机也可以随机停止我的挖矿过程。从本质上讲,每台受感染主机上的挖矿程序都由所有其他受感染主机随机控制。这种随机设计的动机尚不清楚,有可能是因为设计不当,规避技术(效果不佳),自我维持的系统或其他目的。
在线咨询
