Datadog Security Research 发现了一个针对 Docker 和 Kubernetes 环境的新的广泛恶意软件活动,其中威胁行为者利用容器编排技术中的漏洞来挖掘加密货币。该活动依赖于暴露在互联网上的配置错误的 Docker API 端点,已经破坏了众多容器和云主机,在多个平台上部署了加密货币矿工。
攻击从威胁行为者扫描 Internet 以查找缺乏正确身份验证的 Docker API 端点开始。攻击者使用 masscan 和 zgrab 等工具识别易受攻击的 Docker 容器,并执行生成新容器的恶意命令,从而破坏系统。攻击者使用这些受感染的容器来部署 XMRig,这是一种流行的加密货币挖矿软件,它为攻击者的钱包挖掘门罗币 (XMR)。
该活动涉及的关键工具之一是初始化脚本 (init.sh),一旦执行,它就会为进一步的入侵设置容器。该脚本从攻击者的命令和控制 (C2) 服务器下载额外的有效负载,安装必要的数据传输工具,如 curl 和 wget,甚至部署自定义进程隐藏程序以防止被发现。
恶意软件并不止于感染单个 Docker 实例。一旦进入,它就会使用一系列横向移动技术在云基础设施中传播,特别是针对 Docker 和 Kubernetes。kube.lateral.sh 和 spread_docker_local.sh 等脚本会扫描局域网中的开放 Kubernetes(端口 10250)和 Docker(端口 2375、2376 和 2377)终端节点,从而允许恶意软件像蠕虫一样在多个系统中传播。
受感染的 Kubernetes 集群通过以 Kubelet API 为目标进一步受到损害,该 API 允许攻击者直接在集群内的容器上管理 Pod 并执行恶意软件。通过利用此 API,威胁行为者可以部署专门用于挖掘加密货币的额外容器,从而显着扩大其运营规模。
该恶意软件还使用流行的容器镜像存储库 Docker Hub 来托管和分发其恶意负载。Datadog 研究人员发现,用户名为 nmlmweb3 的 Docker Hub 用户发布了包含恶意脚本的图像。恶意软件会下载并执行这些图像,以进一步传播攻击。
有趣的是,攻击者还通过强制受感染的 Docker 实例离开现有的 Swarm 网络并加入由威胁行为者控制的恶意 Swarm 来操纵 Docker Swarm 环境。这使他们能够协调和控制大量受感染的主机,作为专门用于加密货币挖掘的僵尸网络的一部分。
该活动强调了云环境中配置错误的关键问题,特别是未经身份验证就暴露的 Docker API 端点。这些开放的入口点充当初始入侵的攻击媒介。然后,威胁行为者使用其他脚本(例如 spread_ssh.sh)来定位 SSH 服务器,扫描配置错误的系统并使用它们进一步传播。
该活动的成功在于它能够利用这些常见的错误配置,使其能够在云基础设施中迅速传播。每个受感染的节点都有助于大规模的分布式加密挖矿操作,该操作继续为攻击者创造利润,干扰最小。
为了防范这些威胁,云管理员必须确保适当的安全配置,包括对 Docker API 使用身份验证、保护 Kubernetes 集群以及监控可疑活动。随着加密劫持活动的不断发展,主动安全措施对于保护云环境至关重要。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容