با افزایش محبوبیت Docker بهعنوان یک سرویس استقرار برنامههای نرمافزاری، عاملان مخرب از این فرصت برای هدف قرار دادن نقاط پایانی API و دستکاری ایمیجهای آلوده به بدافزار استفاده میکنند تا حملات منع سرویس توزیعشده و استخراج رمزارزها را تسهیل کنند.
طبق گزارش منتشرشده توسط گروه اطلاعات تهدید واحد ۴۲ Palo Alto Networks، هدف این ایمیجهای Docker تولید سرمایه از طریق استقرار یک استخراجکنندهی رمزارز بااستفاده از Containerهای Docker و استفاده از مخزن Docker Hub برای توزیع این ایمیجها است. پژوهشگران واحد ۴۲ بیان میکنند که containerهای Docker روش مناسبی برای نرمافزار بستهبندی ارائه میدهند که میزان پذیرش آن درحال افزایش است. ترکیب آن با استخراج رمزارز، توزیع ایمیجها را در هر دستگاهی که از Docker پشتیبانی میکند برای عامل مخرب تسهیل میکند و از منابع پردازشی در راستای cryptojacjing استفاده میکند.
Docker یک راهحل شناختهشدهی platform-as-a-service برای لینوکس و ویندوز است که به توسعهدهندگان امکان استقرار، آزمایش و بستهبندی برنامهها را در یک محیط مجازی و به روشی که سرویس از سیستم میزبان جداسازی میشود، به توسعهدهندگان میدهد. حساب Docker Hub به نام Zaurenql شامل هشت مخزن است که ۶ ایمیج مخرب با قابلیت استخراج رمزارز مونرو را میزبانی میکند.
نویسندهی بدافزار پشت صحنهی ایمیجها از یک اسکریپت پایتون برای انجام عملیات Cryptojacking استفاده میکند و برای جلوگیری از تشخیص از ابزار Anonymizing شبکه استفاده میکند. کد استخراج رمزارز موجود در ایمیج از قدرت پردازشی سیستمهای آلوده برای استخراج بلوکها بهرهبرداری میکند.
در عملیات اسکن گستردهی جدیدی که توسط پژوهشگران ترندمیکرو مشاهده شده است، سرورهای محافظتنشدهی Docker با حداقل دو نوع بدافزار متفاوت XOR DDoS و Kaiji برای جمعآوری اطلاعات سیستم و انجام حملات منع سرویس توزیعشده هدف قرار میگیرند. مهاجمان معمولاً پس از اسکن درگاههای باز Secure Shell و Telnet از باتنتها برای انجام حملات کورکورانه استفاده میکنند.
درحالحاضر آنها درحال جستجوی سرورهای Docker با درگاههای در معرض خطر هستند. قابل ذکر است که تروجانهای XOR DDoS و Kaiji تروجانهای لینوکس هستند که بهخاطر توانایی در انجام حملات منع سرویس توزیعشده شناختهشدهاند. هر دوی این بدافزارها در کنار تفاوتهایی که دارند اطلاعاتی مانند نام دامنه، سرعت شبکه، شناسههای فرآیند مربوط به فرآیندهای درحال اجرا و اطلاعات CPU و شبکه را که برای انجام یک حملهی منع سرویس توزیعشده موردنیاز است، جمعآوری میکنند.
پژوهشگران نتیجهگیری میکنند که عاملهای پشت صحنهی انواع بدافزارها ، خلاقیت خود را با قابلیتهای جدید بهروزرسانی میکنند بنابراین میتوانند حملات خود را علیه سایر نقاط ورودی انجام دهند.
از آنجا که سرورهای Docker به مرور به یک گزینهی محبوب برای شرکتها تبدیل میشوند، برای استقرار در ابر بسیار مناسب هستند. همچنین آنها را به یک هدف جذاب برای مجرمان سایبری تبدیل میکند که بهطور مداوم بهدنبال یافتن سیستمهایی باشند که بتوانند از آنها بهره برداری کنند. توصیه میشود که کاربران و سازمانهایی که نمونههای Docker را اجرا میکنند، فوراً بررسی کنند که آیا نقاط پایانی API را در معرض اینترنت قرار میدهند، درگاهها را میبندند و از بهترین روشهای توصیهشده استفاده میکنند یا خیر؟