恶意Docker加密矿映像获得了2000万次下载-Threatpost

根据一项分析，Docker Hub中至少有30个恶意映像（总共下载了2000万）已被用于传播加密挖矿恶意软件。

Palo Alto Networks的Unit 42研究人员Aviv Sasson指出并报告了恶意活动，据称，这些恶意图像（分布在10个不同的Docker Hub帐户中）已从加密矿开采中赚取了大约200,000美元。

在Sasson观察到的实例中，最受欢迎的加密货币是门罗币（Monero），占活动的90％左右。 萨森（Sasson）最近在解释中，门罗币（Monero）不仅提供了“最大匿名性” 博客发布，由于其隐藏的交易路径-但也更经济高效地进行挖掘。 Monero加密操作可以在任何机器上运行，不同于比特币，后者需要像GPU这样的东西，并且其更快的处理速度才能经济地开采。

在大多数开采门罗币的攻击中，攻击者使用了 破旧的XMRig Sasson发现，现成的矿工。

他解释说：“ XMRig是一个受欢迎的Monero矿工，受到攻击者的青睐，因为它易于使用，高效且最重要的是开源。” 因此，攻击者可以修改其代码。 例如，大多数门罗币加密货币矿工强行将其采矿时间的一定百分比捐赠给矿工的开发人员。 攻击者进行的一种常见修改是将捐赠百分比更改为零。”

在矿池中发现了另外两种加密货币：Grin（占活动的6.5％）和Arionum（占活动的3.2％）。

公开图片提供量身定制的加密劫持

在这种情况下，恶意软件会通过在Docker Hub容器注册表中公开可用的木马化映像在云中传播，以用于构建云应用程序。 就像公共代码存储库一样 像npm 或Ruby，任何人都可以将图像上传到Docker Hub帐户。

门罗矿工的分布。 点击放大。 资料来源：第42单元。

Sasson发现，恶意映像背后的对手已对其应用了标签，这是引用同一映像的不同版本的一种方式。 他认为，这些标签用于根据应用程序所插入图像的哪个版本来匹配相应版本的恶意软件。

他解释说：“在检查图像的标签时，我发现某些图像针对不同的CPU架构或操作系统具有不同的标签。” “看起来有些攻击者是多才多艺的，并添加这些标签是为了适应包括许多操作系统（OS）和CPU体系结构在内的广泛潜在受害者。 在某些图像中，甚至还有带有不同类型的加密矿工的标签。 这样，攻击者可以为受害者的硬件选择最佳的加密矿机。”

共享矿池链接活动

有趣的是，研究人员能够将标签链接回特定的钱包地址，从而使他能够对活动进行分类。

他解释说：“深入研究后，在某些情况下，我可以看到有许多Docker Hub帐户属于同一活动。” “例如，在先前的研究中，第42单元发现了恶意帐户azurenql。 现在，我们发现该活动范围更广，包括帐户021982，dockerxmrig，ggcloud1和ggcloud2。”

鉴于云为加密劫持攻击提供了巨大的机会，Sasson发现的图像很有可能只是冰山一角。

他说：“可以合理地假设Docker Hub和其他公共注册表上还有许多其他未被发现的恶意映像。” “在我的研究中，我使用了一种加密采矿扫描仪，该扫描仪仅检测简单的加密采矿有效载荷。 我还通过将钱包地址与以前的攻击相关联来确保任何识别出的图像都是恶意的。 即使使用这些简单的工具，我也可以通过数百万次的拉伸来发现数十个图像。 我怀疑这种现象可能比我发现的现象更大，在很多情况下这些载荷都不容易被检测到。”

Docker遭到抨击

基于Docker的加密劫持和恶意软件攻击一直在上升 至少从2018年开始Sasson解释说，这很大程度上是由于云可以提供的采矿业务所需的强大功能。

他说：“云由每个目标的许多实例组成（例如，大量的CPU，大量的容器，大量的虚拟机），这可以转化为可观的采矿利润。”难以实施，因此可能会在一段时间内无法检测到操作。

过去的广告系列包括 加密劫持蠕虫 通过错误配置的Docker端口传播; 全新的Linux后门 叫做Doki 感染了Docker服务器并使用了区块链钱包来生成命令和控制（C2）域名; 在十二月 研究人员发现 一个名为Xanthe的门罗币加密僵尸网络，一直在利用配置错误的Docker API安装来感染Linux系统。

查看我们的免费即将举行的现场网络研讨会活动–与网络安全专家和Threatpost社区进行的独特，动态的讨论：