容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
卡巴斯基发现一种新型恶意软件,利用暴露的Docker容器进行Dero加密货币挖矿。该恶意软件无需命令控制服务器,能够自我复制并感染其他容器。攻击者通过扫描不安全的Docker API,部署伪装成Web服务器的蠕虫和挖矿程序,形成恶性循环。报告指出,全球至少有520个Docker API存在安全隐患,需加强监控与保护。
🎯
关键要点
- 卡巴斯基发现新型恶意软件,利用暴露的Docker容器进行Dero加密货币挖矿。
- 该恶意软件无需命令控制服务器,能够自我复制并感染其他容器。
- 攻击者通过扫描不安全的Docker API,部署伪装成Web服务器的蠕虫和挖矿程序。
- 全球至少有520个Docker API存在安全隐患,需加强监控与保护。
- 恶意软件包含两个核心组件:伪装成Web服务器的nginx和定制化的Dero挖矿程序cloud。
- 攻击流程包括劫持主机、安装扫描工具、部署组件和搜索其他漏洞。
- nginx伪装成合法程序,记录操作日志并监控挖矿进程。
- 恶意软件通过masscan工具扫描随机IPv4子网寻找暴露的Docker主机。
- Dero挖矿程序改编自开源项目,使用加壳和加密技术保护钱包和节点配置。
- 该基础设施曾出现在Kubernetes加密劫持攻击中,表明威胁组织在进化攻击手法。
❓
延伸问答
新型恶意软件是如何利用Docker容器进行挖矿的?
该恶意软件通过暴露的Docker容器自我复制,转化为Dero加密货币挖矿机,无需命令控制服务器。
攻击者是如何发现并利用不安全的Docker API的?
攻击者使用masscan工具扫描互联网,寻找暴露的Docker API,并通过恶意容器劫持主机。
该恶意软件的核心组件有哪些?
恶意软件包含两个核心组件:伪装成Web服务器的nginx和定制化的Dero挖矿程序cloud。
Dero挖矿程序是如何保护其钱包和节点配置的?
Dero挖矿程序使用UPX加壳和AES-CTR加密技术来保护钱包和节点配置。
全球有多少个Docker API存在安全隐患?
全球至少有520个Docker API在2375端口公开暴露,存在安全隐患。
该恶意软件的攻击对容器安全有什么影响?
虽然针对容器的攻击不如其他系统频繁,但其危险性同样高,强调了加强容器监控与保护的必要性。
➡️
