有人遇到过吗?他的码头工人突然变成了采矿机器,疯狂地帮人挖矿。如果是,那么恭喜你,你已经利用了别人伪装的公众形象。这些镜子带有Monroe Coin挖掘机,并通过Docker Hub安装在您的Docker中。
根据最新的安全分析,Docker Hub中至少有30张恶意挖矿图片。它们总共被下载了2000万次,很多人的码头工人成了别人的矿工。这些恶意图片(分布在10个不同的Docker Hub账户中)已经从挖矿中获得了大约20万美元。
根据案例分析,最受欢迎的加密货币是Monero,占所有激活的90%。由于Monero提供了“最大限度的匿名性”,隐藏了交易路线,支持各种平台,开采的经济效率最好,自然适合作为非法活动进行开采。
分析还发现,大多数被攻击的Monero采矿程序使用的是旧的XMRig工具。XMRig是最受欢迎的Monero矿工之一。它易用、高效,最重要的是开源,最受攻击者青睐。比如门罗加密货币矿工,大部分都是强行把自己一定比例的采矿时间捐给矿工的开发者。攻击者首先会修改程序,将捐赠百分比更改为零。
另外两种常见的加密货币是Grin (6.5%的活性)和Arionum (3.2%的活性)。
恶意软件会通过Docker Hub容器注册表中公开的木马镜像在云中传播,这些镜像可用于构建云应用。就像npm或Ruby等公共代码库一样,任何人都可以将图像上传到Docker Hub帐户。
目前发现的恶意账号有azurenql、021982、dockerxmrig、ggcloud1和ggcloud2等。恶意图像使用特殊标签伪装成一些主流程序图像的不同版本。
在设计恶意图像标签时,有些图像会被贴上不同CPU架构或操作系统的标签。这些标签旨在适应各种潜在的受害者,包括许多操作系统(OS)和CPU架构。在一些镜像中,甚至有内置不同类型加密的矿工类型。并且可以根据受害者的硬件选择最好的加密矿机。
自2018年以来,基于Docker的加密劫持和恶意软件攻击不断增加,这主要是由于云可以为挖掘提供的强大功能。云包含了每个目标的很多实例(比如大量的CPU,大量的容器,大量的虚拟机),可以转化为可观的挖矿利润。
过去的一些历史事件包括通过错误配置的Docker接口传播的加密劫持蠕虫:
一个名为Doki的全新Linux后门,利用基于Ngrok的僵尸网络感染Docker服务器和区块链钱包,生成命令和控制(C2)域名;
去年12月,研究人员发现了一个名为Xanthe的Monroe Coin加密僵尸网络,该网络一直在使用错误配置的Docker API安装来感染Linux系统。
