威脅快報|新興挖礦團伙藉助shodan做惡，非web應用安全再鳴警鐘

近日，阿里雲安全發現了一個使用未受權訪問漏洞部署惡意Docker鏡像進行挖礦的僵屍網絡團伙。咱們給這一團夥取名爲Xulu，由於該團伙使用這個字符串做爲挖礦時的用戶名。

Xulu並非第一個攻擊Docker的惡意挖礦團伙，但它不一樣於其餘僵屍網絡。Xulu感染一臺服務器後，並不對外進行大規模掃描，而是使用OSINT技術，即利用開源情報，動態地從shodan網站得到可能的「獵物」ip列表。

此外，Xulu僵屍網絡將本身的服務器放在Tor洋蔥網絡中，這使得對幕後黑手的追溯變得更加困難。

 

 

 

會挖礦的惡意Docker鏡像

Docker容器是一個開源的應用容器引擎，可讓開發者打包他們的應用及依賴包到一個輕量級、可移植的容器中，從而在不一樣環境中可靠運行。

近年來隨着微服務的流行，愈來愈多的企業在部署應用時使用容器，然而在這一過程當中安全每每沒有獲得應有的重視，致使Docker容器在多起事件中成爲網絡攻擊的靶子。

在本次Xulu僵屍網絡事件中，咱們注意到淪陷服務器上都被建立了鏡像名爲zoolu2/auto的惡意容器。

 

 

 

這些惡意容器中運行着以下進程

 

 

其中的挖礦進程很容易分辨：

/toolbin/darwin -o us-east.cryptonight-hub.miningpoolhub.com:20580 -u xulu.autodeploy -p x --currency monero -i 0 -c conf.txt -r

儘管http://miningpoolhub.com是公開礦池，但因爲它不提供每一個用戶的歷史收益數據，咱們無從得知攻擊者從惡意挖礦中總共賺了多少錢。

僵屍網絡的傳播和持久化

Xulu僵屍網絡進行自身的傳播和持久化的過程當中，使用了OSINT技術並藉助了洋蔥網絡。

首先，該僵屍網絡的控制服務器地址是http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion。".onion"後綴代表這是一個必須經過洋蔥匿名網絡訪問的「洋蔥服務」(又名「隱藏服務」)。

 

 

 

該僵屍網絡以/toolbin/shodaemon做爲守護進程：

 

 

 

不難看出該腳本下載了http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt，與本地硬編碼的/toolbin/hcode.txt文件內容一塊兒存入search.txt

 

 

 

 

運行/toolbin/shodan，讀取search.txt的列表並對shodan發送如上圖所示的查詢。

這些查詢會返回互聯網上一系列開放了Docker服務(2375端口)的主機ip。儘管這些主機並不是每一個都存在漏洞，但攻擊者仍然經過使用shodan的信息，避免了大規模掃描的進行。

 

 

在獲取了使用Docker服務的主機列表並去除重複ip後，已淪陷的主機會向表中ip發送docker run命令，其中未受權訪問漏洞的Docker服務將被部署"zoolu2/auto"惡意鏡像，從而完成蠕蟲的傳播。

此外，Xulu僵屍網絡還會每30分鐘下載並執行從http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt下載的腳本，從而保持自身在受害主機上的活躍。

受害規模和安全建議

在docker hub官網咱們能夠看到，前文提到的"zoolu2/auto"已被下載超過1萬次：

 

 

 

而且僵屍網絡做者彷佛仍在積極開發變種：

 

 

 

• 爲了不您成爲此種惡意入侵和挖礦事件的受害者，阿里雲安全爲您提供以下安全建議：
• 不要將對內使用的服務(如Docker)開放在互聯網上，應使用ACL或複雜密碼等措施來保證僅有受到信任的用戶才能夠訪問這些服務。
• 由於基於洋蔥網絡的「隱藏服務」已被用於多個僵屍網絡的傳播，不常使用洋蔥網絡服務的用戶可使用以下命令對其進行屏蔽：echo -e "n0.0.0.0 .onion" >> /etc/hosts
• 咱們推薦您使用阿里雲下一代防火牆，由於它在阻止、攔截此類須要外聯的攻擊時十分有效。用戶將在AI技術的幫助下，免於惡意挖礦事件的困擾
• 咱們一樣推薦阿里雲安全管家服務。該服務的用戶能夠就碰到的問題隨時諮詢安全專家。安全專家還能夠幫助用戶進行安全加固、事件溯源、蠕蟲清理等

 

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。