卡巴斯基观察到Docker蠕虫病毒 可自行寻找存在配置错误的容器并感染进行挖矿
山外的鸭子哥
日前卡巴斯基实验室发布最新的研究报告,此次安全事件是针对存在配置错误或安全弱点的 Docker 容器,有黑客开发蠕虫化的恶意软件,例如某个容器被感染后就会被当作蠕虫的据点,蠕虫会继续探测其他容器寻找弱点并进行感染。
黑客攻击的目的则是为了挖掘名为 DERO 的加密货币,该加密货币具有类似门罗币的隐私保护措施,或许这也是黑客选择 DERO 而不是其他加密货币的原因。
研究人员分析后发现这个蠕虫病毒会不断地在互联网上扫描暴露的 Docker API,如果成功感染则会部署挖矿软件,然后继续并发探测更多暴露的容器,将这些暴露的容器纳入不断增长的挖矿机器人群中。
黑客使用的恶意软件叫做 nginx,这并非 F5 公司的反向代理工具,而是黑客为迷惑大家故意起这个名字;另一个恶意软件是名为 cloud 的挖矿组件,两个恶意软件都通过 Golang 开发。
当成功感染容器后恶意软件会确认远程 dockerd 守护程序是否正常运行,随后名为 nginx 的恶意软件会生成 12 随机字符的容器名称用来部署带有 cloud 挖矿组件的容器。
为了实现持久化,黑客会将传输的 nginx 二进制文件添加到 /root/.bash_aliases 文件中,确保恶意文件能够在 shell 登录时自动启动,而 cloud 挖矿组件则是基于 GitHub 上开源的 DeroHE CLI 矿工程序。
结合其他安全公司的分析报告,这个恶意软件其实已经传播很长时间,例如 2023 年 3 月 CrowdStrike 记录到 DERO 恶意挖矿事件,Wiz 在 2024 年 6 月也发现类似事件,这些事件中黑客使用的钱包地址都是相同的。
卡巴斯基提醒使用 Docker 的用户仔细检查配置避免存在安全弱点,以及如无必要不应该将容器暴露在公网上,否则就可能会被这些恶意蠕虫不停地探测和轰炸。
