趋势科技研究人员发现了网络犯罪分子用于在 Docker 远程 API 服务器上部署 SRBMiner 加密矿机的一种非常规新方法。这种攻击利用 h2c(明文 HTTP/2)上的 gRPC 协议来规避安全解决方案,并挖掘由 Ripple Labs 开发的 XRP 加密货币。
攻击开始时,威胁行为者会扫描易受攻击的 Docker API 服务器。一旦被发现,攻击者就会检查 Docker API 的可用性和版本,然后发送 gRPC/h2c 升级请求。据研究人员称,这一升级请求至关重要,因为它允许攻击者在不被发现的情况下远程操纵 Docker 功能。
一旦连接升级,攻击者就会利用 gRPC 方法执行文件同步、身份验证和 SSH 转发等任务。趋势科技的报告指出,“这些方法旨在促进 Docker 内的各种操作,包括健康检查、文件同步、身份验证、机密管理和 SSH 转发”。这些功能允许攻击者执行命令,就好像他们在直接管理服务器一样。
在建立控制权后,攻击者会部署 SRBMiner Cryptominer。具体方法是使用合法的基础镜像 debian:bookworm-slim 构建 Docker 镜像,并将矿工部署到 /usr/sbin 目录中。恶意软件从 GitHub 下载并解压到临时目录,然后开始加密挖掘过程。然后,威胁者会提供自己的瑞波钱包地址,以收集挖出的加密货币。
这种攻击特别令人担忧的原因之一是使用了 h2c 上的 gRPC 协议,这使得攻击者可以绕过安全层。通过使用这种方法,威胁者可以掩盖他们的活动,使安全工具难以检测到加密货币矿机的部署。攻击者还利用 Docker 的远程 API 功能隐秘地执行命令,确保持续挖矿。
这次攻击表明,网络犯罪分子的策略在不断演变,他们在继续寻找创新方法来利用 Docker 等容器化环境。正如研究人员所指出的,“Docker 等容器化平台在现代应用程序开发中发挥着重要作用,但如果不加以精心保护,其功能也可能成为安全隐患”。在这次攻击中,通过 HTTP/2 使用 gRPC 凸显了保护 Docker 远程 API 和监控异常活动的重要性。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容