用于挖掘门罗币的恶意 Docker 镜像

据网络安全公司称，最近发现的一种加密挖掘方案使用恶意 Docker 镜像劫持组织的计算资源来挖掘加密货币 水上安全. 这些图像被上传到合法的 Docker Hub 存储库。

也可以看看： 假设违反的心态：保护攻击者所追求的东西的 4 个步骤

研究人员在 Docker Hub 上确定了五个容器镜像，它们可以用作针对云原生环境的供应链攻击的一部分。

Docker 是一种流行的平台即服务容器产品，适用于 Linux 和 Windows 设备，开发人员可以使用它来帮助开发和打包应用程序。

Aqua Security 的首席数据分析师 Assaf Morag 表示，研究人员在对这些容器图像进行定期手动分析后发现了恶意图像。

“我们定期与 Docker Hub 和其他公共注册中心或存储库（GitHub、Bitbucket 等）共享此类信息，”莫拉格说。 “根据我们与 Docker Hub 共享的信息，他们进行调查并决定是否关闭命名空间。在这种特殊情况下，他们在我们联系他们的同一天关闭了这些命名空间。Docker Hub 的反应和响应时间绝对是惊人的。”

利用 Docker

研究人员发现的前三个容器——thanhtudo、thieunutre 和 chanquaa——执行脚本 dao.py，该脚本是一个 Python 脚本，是之前使用拼写错误隐藏 Docker Hub 中的恶意容器图像的几个活动的一部分。

另外两个容器镜像分别命名为 openjdk 和 golang。 “我们没有看到任何迹象表明它们被用于野外攻击，但这并不意味着它们是或不是，”莫拉格指出。 “我们的目标是让这些具有误导性名称的容器映像亮起来，说它们包含密码矿工，一旦你运行容器就会执行，即使命名空间中没有迹象表明这是这些容器映像的目的。 ”

容器看起来官方

这些恶意容器很容易被误认为是官方容器镜像，即使负责它们的 Docker Hub 帐户不是官方帐户。

“一旦它们运行，它们可能看起来像一个无辜的容器。运行后，二进制 xmrig 被执行（MD5：16572572588c2e241225ea2bf6807eff），它劫持了用于加密货币挖掘的资源，”研究人员指出。

莫拉格说，社会工程技术可以用来诱骗某人使用这些容器镜像。

“我猜你永远不会登录mybunk这个网页[.]com，但如果攻击者向您发送了指向该命名空间的链接，则可能会发生，”他说。“事实是，这些容器映像每个都累积了 10,000 多次拉取。”

报告称，虽然尚不清楚谁是该计划的幕后黑手，但 Aqua Security 研究人员发现，在 Aqua Security 通知 Docker 后，恶意 Docker Hub 帐户已被删除。

Morag 解释说，这些容器不是由黑客直接控制的，但是 entrypoint/cmd 中有一个脚本，旨在执行自动攻击。 在这种情况下，攻击仅限于劫持计算资源来挖掘加密货币。

“当有人运行这些容器镜像时，有一个脚本会‘加载’挖矿配置并执行一个二进制文件，该二进制文件旨在与矿池通信并执行加密挖矿脚本。在所有情况下—— XMRIG，”莫拉格指出。

降低风险

Aqua Security 研究人员建议公司改进其防御措施，以降低成为此类攻击受害者的风险。 “攻击者越来越多地瞄准组织的软件供应链，在某些情况下，他们越来越善于隐藏攻击，”研究人员说。

研究人员说：“当从公共注册表运行容器时，请将注册表视为具有高风险供应链攻击的来源。” “攻击者试图通过将恶意容器镜像伪装成流行镜像来诱使开发人员无意中提取恶意容器镜像。为了降低风险，为基础容器镜像创建一个精心策划的内部注册表并限制谁可以访问公共注册表。制定政策以确保容器镜像在此之前得到审查它们包含在内部注册表中。”

Morag 说，当组织使用静态、签名或基于模式的扫描时，复杂的攻击通常能够避免检测。 “例如，威胁行为者可以通过在容器映像中嵌入代码来逃避检测，这些代码仅在运行时下载恶意软件，”他说。 “这就是为什么除了扫描任何外部未经审查的容器映像是否存在漏洞之外，您还需要使用适当的工具来动态分析沙箱中的容器行为，以识别静态代码扫描无法检测到的攻击向量。”

研究人员还建议对容器镜像进行数字签名或使用其他维护镜像完整性的方法，以确保使用的容器镜像与经过审查和批准的镜像相同。