社区编辑申请
注册/登录
挖矿病毒“盯上”了 Docker 服务器
安全
根据 Crowdstrike 发布的报告来看,目前正在进行的 Lemon_Duck 挖矿活动,背后的威胁攻击者正在将其钱包隐藏在代理池后面。

Bleeping Computer 网站披露,Lemon_Duck 僵尸网络运营商正在进行大规模 Monero 加密挖矿活动,Linux 服务器上的 Docker API 成为其主要攻击目标。

近些年,安全性差或配置错误的 Docker 系统,一直受到加密团伙持续威胁,发生了多此大规模的网络攻击活动。其中 Lemon_Duck 尤为猖獗,该团伙之前一直专注利用脆弱的微软 Exchange 服务器,以及通过 SSH 暴力攻击针对 Linux 机器、易受 SMBGhost 影响的 Windows 系统和运行 Redis 和 Hadoop 实例的服务器。

根据 Crowdstrike 发布的报告来看,目前正在进行的 Lemon_Duck 挖矿活动,背后的威胁攻击者正在将其钱包隐藏在代理池后面。

活动细节

网络安全人员研究发现,Lemon_Duck 能够访问暴露的 Docker API,并运行恶意容器获取一个伪装成 PNG 图像的 Bash 脚本。

添加恶意cronjob

之后,有效负载在容器中创建一个 cronjob, 下载执行以下操作的 Bash 文件 (a.asp):

  • 根据已知的矿池、竞争的加密组等的名称来杀死进程。
  • 杀死 crond、sshd 和 syslog 等守护进程。
  • 删除已知的危害指标(IOC)文件路径。
  • 关闭与已知属于竞争性加密集团的 C2 的网络连接。
  • 停用阿里云的监控服务,保护实例不受风险活动的影响。

禁用阿里云监控

值得一提的是,禁用阿里云服务中的保护功能,在 2021 年 11 月的某次加密采矿恶意软件中已经被研究人员观察到。

执行上述操作后,Bash 脚本会下载并运行加密采矿工具 XMRig 以及一个配置文件,将攻击者的钱包隐藏在代理池后面。

在最初被感染机器被设置为挖矿后,Lemon_Duck 试图通过利用文件系统上的 SSH 密钥进行横向移动,如果能够成功的话,攻击者就用可以重复同样的感染过程。

在文件系统上搜索 SSH 密钥

遏制 Docker 威胁

Lemon_Duck 恶意加密挖矿活动披露的同时,思科 Talos 报告了 TeamTNT 的一个活动,据悉,该活动也针对亚马逊网络服务上暴露的 Docker API 实例。

TeamTNT 组织试图禁用云安全服务以逃避检测,并尽可能长时间地挖掘 Monero、比特币和以太币。

现阶段,安全配置 Docker API 部署势在必行,管理员应该从检查平台的最佳实践和针对其配置的安全建议开始,保护容器安全性。 此外,对所有容器设置资源消耗限制,实行严格的图像认证政策,并执行最小特权原则。

参考文章:https://www.bleepingcomputer.com/news/security/docker-servers-hacked-in-ongoing-cryptomining-malware-campaign/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-06-15 08:21:49

Linux运维工程师

2022-05-26 15:02:35

Docker容器云原生

2022-06-03 09:41:03

DockerKubernetes容器

2022-05-11 15:41:27

英伟达显卡加密货币

2022-06-23 09:49:16

火绒安全英特尔

2022-03-10 08:24:17

Docker容器SaaS

2022-05-23 11:03:53

云原生技术DockerIstio

2022-05-10 23:32:30

比特币数字资产区块链

2022-05-05 09:27:31

Linux服务器优化

2022-05-23 07:48:10

zabbix监控CentOS7

2022-04-13 08:20:32

DockerGo项目

2022-06-02 07:13:12

Python3.11编程语言

2022-06-09 13:45:18

vivoK8S集群Kubernetes

2022-05-26 07:41:24

Ftp服务器

2022-06-23 11:42:22

MySQL数据库

2022-06-24 11:34:38

云计算应用安全

2022-06-14 23:34:10

Linux安全服务器

2022-06-01 09:38:36

KubernetesPod容器

2022-06-21 09:27:01

PythonFlaskREST API

2022-06-15 10:30:07

数据中心5G蜂窝网络

同话题下的热门内容

无线网络安全的12个优秀实践如何避免严重网络安全事故的发生?Google发布《SOC建设指南》,对未来SOC提出新思考六个优秀漏洞管理工具以及它们如何帮助确定威胁的优先级如何做好统一身份认证账号管理及集成?摒弃传统的用户名和密码登录防不胜防?网络钓鱼攻击常用手法盘点与防护建议2022年云计算应用关键威胁调查

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号