植入挖矿的Docker镜像被下载了两千万次

安全
Palo Alto Network的安全研究员Aviv Sasson发现了30个被植入挖矿木马的Docker镜像,这些镜像总计被下载了2000万次。

Palo Alto Network的安全研究员Aviv Sasson发现了30个被植入挖矿木马的Docker镜像,这些镜像总计被下载了2000万次。

安全专家检查了矿池确定挖矿的账户持有的加密货币总量。Aviv Sasson发现在两年内攻击者持有的最大的矿池挖掘了价值 200000 美元的加密货币。

在容器镜像中植入挖矿木马是一种快速利用他人计算机资源帮助攻击者挖掘加密货币的方式。安全专家在深入调查了Docker Hub后,发现了30个恶意镜像,共计被拉取2000万次,攻击者利用此获利超过 20 万美元。

Docker Hub是世界上最大的容器镜像托管社区,有来自软件供应商、开源项目的超过十万个容器镜像。

在大多数镜像中,攻击者挖掘门罗币(90.3%),也挖掘其他的加密货币如GRIN(6.5%)、ARO(3.2%)。在挖掘门罗币时,攻击者主要使用XMRig挖矿,也有少量的Hildegard与Graboid。

Palo Alto Network在报告中表示:“XMRig确实是受欢迎的,非常易于使用、高效而且开源。攻击者可以自己修改代码,所以攻击者非常喜欢使用XMRig”。

“正常情况下很多矿工都会将一部分算力捐赠给开发人员,攻击者常见的会将捐赠比例修改为0”。

研究人员注意到,某些镜像针对不同体系架构的CPU或操作系统有不同的标签,攻击者可以根据受害者的硬件选择最合适的矿工进行加密货币的挖掘。

这些矿机都有相同的钱包地址,安全专家发现在这些恶意的账户以前也与密码窃取事件相关。

云的普及为劫持提供了巨大的机会,安全专家开发了一个加密货币挖矿扫描工具,识别工具的有效载荷和钱包地址。即使通过简单的工具,在几百万个镜像里就可以发现几十个恶意镜像。

安全研究人员认为,这种问题可能比想象的更严重,有很多挖矿工具的有效载荷不容易被检测出来。

Docker 镜像

  1. 021982/155_138 
  2. 021982/66_42_53_57 
  3. 021982/66_42_93_164 
  4. 021982/xmrig 
  5. 021982/xmrig1 
  6. 021982/xmrig2 
  7. 021982/xmrig3 
  8. 021982/xmrig4 
  9. 021982/xmrig5 
  10. 021982/xmrig6 
  11. 021982/xmrig7 
  12. avfinder/gmdr 
  13. avfinder/mdadmd 
  14. docheck/ax 
  15. docheck/health 
  16. dockerxmrig/proxy1 
  17. dockerxmrig/proxy2 
  18. ggcloud1/ggcloud 
  19. ggcloud2/ggcloud 
  20. kblockdkblockd/kblockd 
  21. osekugatty/picture124 
  22. osekugatty/picture128 
  23. tempsbro/tempsbro 
  24. tempsbro/tempsbro1 
  25. toradmanfrom/toradmanfrom 
  26. toradmanfrom/toradmanfrom1 
  27. xmrigdocker/docker2 
  28. xmrigdocker/docker3 
  29. xmrigdocker/xmrig 
  30. xmrigdocker/xmrig 
  31. zenidine/nizadam 

参考来源:

  • paloaltnetworks(https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/)
  • SecurityAffairs(https://securityaffairs.co/wordpress/116111/cyber-crime/docker-cryptojacking-attacks.html)

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-07-12 05:57:00

Mangatoon黑客数据泄露

2021-03-31 09:58:26

恶意软件威胁情报网络攻击

2009-10-19 21:31:59

2022-04-05 13:39:00

mysql数据库单表

2020-12-30 18:58:03

数字人民币数字货币区块链

2019-02-26 13:18:05

MySQL大表优化数据库

2021-04-26 22:52:35

数据泄露攻击疫情

2013-10-28 15:51:09

Ubuntu 13.1升级

2022-04-24 14:11:26

病毒僵尸网络网络攻击

2020-06-04 11:51:09

数据泄露暗网信息安全

2012-10-23 15:11:05

2018-01-31 08:57:00

2024-04-02 11:38:14

2009-09-08 10:09:04

诺基亚应用程序商店

2011-07-20 09:40:04

思杰Cloud.com

2019-05-28 11:49:09

2019-11-06 09:36:16

服务器CPUTomcat

2023-09-08 00:02:47

2022-06-16 16:04:00

社会工程攻击网络犯罪网络攻击

2021-10-28 10:42:07

虚拟货币数字货币区块链
点赞
收藏

51CTO技术栈公众号