Datadog Security Research 发现了一个针对 Docker 和 Kubernetes 环境的新的广泛恶意软件活动,其中威胁行为者利用容器编排技术中的漏洞来挖掘加密货币。该活动依赖于暴露在互联网上的配置错误的 Docker API 端点,已经破坏了众多容器和云主机,在多个平台上部署了加密货币矿工。
攻击从威胁行为者扫描 Internet 以查找缺乏正确身份验证的 Docker API 端点开始。攻击者使用 masscan 和 zgrab 等工具识别易受攻击的 Docker 容器,并执行生成新容器的恶意命令,从而破坏系统。攻击者使用这些受感染的容器来部署 XMRig,这是一种流行的加密货币挖矿软件,它为攻击者的钱包挖掘门罗币 (XMR)。
该活动涉及的关键工具之一是初始化脚本 (init.sh),一旦执行,它就会为进一步的入侵设置容器。该脚本从攻击者的命令和控制 (C2) 服务器下载额外的有效负载,安装必要的数据传输工具,如 curl 和 wget,甚至部署自定义进程隐藏程序以防止被发现。
恶意软件并不止于感染单个 Docker 实例。一旦进入,它就会使用一系列横向移动技术在云基础设施中传播,特别是针对 Docker 和 Kubernetes。kube.lateral.sh 和 spread_docker_local.sh 等脚本会扫描局域网中的开放 Kubernetes(端口 10250)和 Docker(端口 2375、2376 和 2377)终端节点,从而允许恶意软件像蠕虫一样在多个系统中传播。
受感染的 Kubernetes 集群通过以 Kubelet API 为目标进一步受到损害,该 API 允许攻击者直接在集群内的容器上管理 Pod 并执行恶意软件。通过利用此 API,威胁行为者可以部署专门用于挖掘加密货币的额外容器,从而显着扩大其运营规模。
该恶意软件还使用流行的容器镜像存储库 Docker Hub 来托管和分发其恶意负载。Datadog 研究人员发现,用户名为 nmlmweb3 的 Docker Hub 用户发布了包含恶意脚本的图像。恶意软件会下载并执行这些图像,以进一步传播攻击。
有趣的是,攻击者还通过强制受感染的 Docker 实例离开现有的 Swarm 网络并加入由威胁行为者控制的恶意 Swarm 来操纵 Docker Swarm 环境。这使他们能够协调和控制大量受感染的主机,作为专门用于加密货币挖掘的僵尸网络的一部分。
该活动强调了云环境中配置错误的关键问题,特别是未经身份验证就暴露的 Docker API 端点。这些开放的入口点充当初始入侵的攻击媒介。然后,威胁行为者使用其他脚本(例如 spread_ssh.sh)来定位 SSH 服务器,扫描配置错误的系统并使用它们进一步传播。
该活动的成功在于它能够利用这些常见的错误配置,使其能够在云基础设施中迅速传播。每个受感染的节点都有助于大规模的分布式加密挖矿操作,该操作继续为攻击者创造利润,干扰最小。
为了防范这些威胁,云管理员必须确保适当的安全配置,包括对 Docker API 使用身份验证、保护 Kubernetes 集群以及监控可疑活动。随着加密劫持活动的不断发展,主动安全措施对于保护云环境至关重要。
文章原文链接:https://www.anquanke.com/post/id/300472