植入挖矿的Docker镜像被下载了两千万次 – 作者:Avenger

HW期间，为防范钓鱼，即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便，敬请谅解~

Palo Alto Network的安全研究员Aviv Sasson发现了30个被植入挖矿木马的Docker镜像，这些镜像总计被下载了2000万次。

安全专家检查了矿池确定挖矿的账户持有的加密货币总量。Aviv Sasson发现在两年内攻击者持有的最大的矿池挖掘了价值 200000 美元的加密货币。

在容器镜像中植入挖矿木马是一种快速利用他人计算机资源帮助攻击者挖掘加密货币的方式。安全专家在深入调查了Docker Hub后，发现了30个恶意镜像，共计被拉取2000万次，攻击者利用此获利超过 20 万美元。

Docker Hub是世界上最大的容器镜像托管社区，有来自软件供应商、开源项目的超过十万个容器镜像。

在大多数镜像中，攻击者挖掘门罗币（90.3%），也挖掘其他的加密货币如GRIN（6.5％）、ARO（3.2％）。在挖掘门罗币时，攻击者主要使用XMRig挖矿，也有少量的Hildegard与Graboid。

Palo Alto Network在报告中表示：“XMRig确实是受欢迎的，非常易于使用、高效而且开源。攻击者可以自己修改代码，所以攻击者非常喜欢使用XMRig”。

“正常情况下很多矿工都会将一部分算力捐赠给开发人员，攻击者常见的会将捐赠比例修改为0”。

研究人员注意到，某些镜像针对不同体系架构的CPU或操作系统有不同的标签，攻击者可以根据受害者的硬件选择最合适的矿工进行加密货币的挖掘。

这些矿机都有相同的钱包地址，安全专家发现在这些恶意的账户以前也与密码窃取事件相关。

云的普及为劫持提供了巨大的机会，安全专家开发了一个加密货币挖矿扫描工具，识别工具的有效载荷和钱包地址。即使通过简单的工具，在几百万个镜像里就可以发现几十个恶意镜像。

安全研究人员认为，这种问题可能比想象的更严重，有很多挖矿工具的有效载荷不容易被检测出来。

Docker 镜像

021982/155_138021982/66_42_53_57021982/66_42_93_164021982/xmrig021982/xmrig1021982/xmrig2021982/xmrig3021982/xmrig4021982/xmrig5021982/xmrig6021982/xmrig7avfinder/gmdravfinder/mdadmddocheck/axdocheck/healthdockerxmrig/proxy1dockerxmrig/proxy2ggcloud1/ggcloudggcloud2/ggcloudkblockdkblockd/kblockdosekugatty/picture124osekugatty/picture128tempsbro/tempsbrotempsbro/tempsbro1toradmanfrom/toradmanfromtoradmanfrom/toradmanfrom1xmrigdocker/docker2xmrigdocker/docker3xmrigdocker/xmrigxmrigdocker/xmrigzenidine/nizadam

参考来源

paloaltnetworks（https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/）

SecurityAffairs（https://securityaffairs.co/wordpress/116111/cyber-crime/docker-cryptojacking-attacks.html）

来源：freebuf.com 2021-03-31 00:00:01 by: Avenger