بدافزار Cryptojacking در ایمیج‌های Docker از طریق Docker Hub توزیع می‌شود

با افزایش محبوبیت Docker به‌عنوان یک سرویس استقرار برنامه‌های نرم‌افزاری، عاملان مخرب از این فرصت برای هدف قرار دادن نقاط پایانی API و دست‌کاری ایمیج‌های آلوده به بدافزار استفاده می‌کنند تا حملات منع سرویس توزیع‌شده و استخراج رمزارزها را تسهیل کنند.

طبق گزارش منتشرشده توسط گروه اطلاعات تهدید واحد ۴۲ Palo Alto Networks، هدف این ایمیج‌های Docker تولید سرمایه از طریق استقرار یک استخراج‌کننده‌ی رمزارز بااستفاده از Containerهای Docker و استفاده از مخزن Docker Hub برای توزیع این ایمیج‌ها است. پژوهش‌گران واحد ۴۲ بیان می‌کنند که containerهای Docker روش مناسبی برای نرم‌افزار بسته‌بندی ارائه می‌دهند که میزان پذیرش آن درحال افزایش است. ترکیب آن با استخراج رمزارز، توزیع ایمیج‌ها را در هر دستگاهی که از Docker پشتیبانی می‌کند برای عامل مخرب تسهیل می‌کند و از منابع پردازشی در راستای cryptojacjing استفاده می‌کند.

Docker یک راه‌حل شناخته‌شده‌ی platform-as-a-service برای لینوکس و ویندوز است که به توسعه‌دهندگان امکان استقرار، آزمایش و بسته‌بندی برنامه‌ها را در یک محیط مجازی و به روشی که سرویس از سیستم میزبان جداسازی می‌شود، به توسعه‌دهندگان می‌دهد. حساب Docker Hub به نام Zaurenql شامل هشت مخزن است که ۶ ایمیج مخرب با قابلیت استخراج رمزارز مونرو را میزبانی می‌کند.

نویسنده‌ی بدافزار پشت صحنه‌ی ایمیج‌ها از یک اسکریپت پایتون برای انجام عملیات Cryptojacking استفاده می‌کند و برای جلوگیری از تشخیص از ابزار Anonymizing  شبکه استفاده می‌کند. کد استخراج رمزارز موجود در ایمیج از قدرت پردازشی سیستم‌های آلوده برای استخراج بلوک‌ها بهره‌برداری می‌کند.

در عملیات اسکن گسترده‌ی جدیدی که توسط پژوهش‌گران ترندمیکرو مشاهده شده است، سرورهای محافظت‌نشده‌ی Docker با حداقل دو نوع بدافزار متفاوت XOR DDoS و Kaiji برای جمع‌آوری اطلاعات سیستم و انجام حملات منع سرویس توزیع‌شده هدف قرار می‌گیرند. مهاجمان معمولاً پس از اسکن درگاه‌های باز Secure Shell و Telnet از بات‌نت‌ها برای انجام حملات کورکورانه استفاده می‌کنند.

درحال‌حاضر آن‌ها درحال جستجوی سرورهای Docker با درگاه‌های در معرض خطر هستند. قابل ذکر است که تروجان‌های XOR DDoS و Kaiji تروجان‌های لینوکس هستند که به‌خاطر توانایی در انجام حملات منع سرویس توزیع‌شده شناخته‌شده‌اند. هر دوی این بدافزارها در کنار تفاوت‌هایی که دارند اطلاعاتی مانند نام دامنه، سرعت شبکه، شناسه‌های فرآیند مربوط به فرآیندهای درحال اجرا و اطلاعات CPU و شبکه را که برای انجام یک حمله‌ی منع سرویس توزیع‌شده موردنیاز است، جمع‌آوری می‌کنند.

پژوهش‌گران نتیجه‌گیری می‌کنند که عامل‌های پشت صحنه‌ی انواع بدافزارها ، خلاقیت خود را با قابلیت‌های جدید به‌روزرسانی می‌کنند بنابراین می‌توانند حملات خود را علیه سایر نقاط ورودی انجام دهند.

از آن‌جا که سرورهای Docker به مرور به یک گزینه‌ی محبوب برای شرکت‌ها تبدیل می‌شوند، برای استقرار در ابر بسیار مناسب هستند. همچنین آن‌ها را به یک هدف جذاب برای مجرمان سایبری تبدیل می‌کند که به‌طور مداوم به‌دنبال یافتن سیستم‌هایی باشند که بتوانند از آن‌ها بهره برداری کنند. توصیه می‌شود که کاربران و سازمان‌هایی که نمونه‌های Docker را اجرا می‌کنند، فوراً بررسی کنند که آیا نقاط پایانی API را در معرض اینترنت قرار می‌دهند، درگاه‌ها را می‌بندند و از بهترین روش‌های توصیه‌شده استفاده می‌کنند یا خیر؟

منبع

پست‌های مشابه

Leave a Comment