Unit 42研究人員在Docker Hub中 發(fā)現了30個惡意鏡像，總下載量超過2000萬次，保守估計加密貨幣挖礦活動獲利20萬美元。

過去幾年里，Unit 42研究人員發(fā)現有基于云的加密貨幣挖礦攻擊活動，其中礦工通過Docker Hub中的鏡像進行部署。

云平臺被用于加密貨幣挖礦攻擊的原因有：

• 云平臺中包含有攻擊目標的實例，比如CPU、容器、虛擬機等，每個實例被用來挖礦都可以帶來巨大的收益。
• 云平臺很難監(jiān)控。礦工可以長期運行而不被發(fā)現，而且沒有任何檢測機制，用戶只有在支付云服務使用賬單時才可能會發(fā)現存在問題。
• 目前的云技術主要是基于容器的，而Docker Hub是默認的容器注冊商。因此，攻擊者利用Docker Hub來在被入侵的云端部署礦工。

研究人員對Docker Hub上的惡意挖礦鏡像進行分析，發(fā)現了來自10個不同Docker Hub賬戶的30個鏡像文件，累計下次次數超過2000萬次。預計挖礦收益超過20萬美元。

Docker Hub中加密貨幣挖礦鏡像中的加密貨幣分布如下所示：

其中門羅幣占比90.3%，Grin占比6.5%，Arionum占比3.2%。

門羅幣是部署最多的加密貨幣挖礦機，攻擊者首選門羅幣的原因有：

• 門羅幣提供了最大的匿名性。門羅幣的交易是隱藏的，門羅幣的匿名和隱私性使得攻擊者的非法活動被隱藏。因此，很難追蹤其資金的流向。
• ·門羅幣挖礦算法傾向于CPU挖礦。與其他加密貨幣挖礦算法需要ASIC或GPU進行挖礦不同的是，門羅幣挖礦算法傾向于CPU挖礦。而所有的計算機都有CPU，因此礦工可以在任意一臺機器上部署和運行。
• 門羅幣是一款主流的加密數字貨幣。其交易量已經達到每天1億美元，因此攻擊者挖礦所得的門羅幣可以很快出手。

在進行門羅幣挖礦的攻擊活動中，攻擊者使用最多的XMRig。由于XMRig非常高效率、且容易使用、而且是開源的。因此攻擊者可以修改其代碼。

研究發(fā)現有90%的攻擊活動中使用XMRig，剩余10%使用Xmr-stack。

容器注冊商允許用戶升級其鏡像，并在這一過程中上傳一個新的標簽tag到注冊商處。Tag是一種對同一鏡像的不同版本進行標記的方法。研究人員在分析鏡像的tag時發(fā)現，一些鏡像對不同的CPU架構或操作系統有不同的tag。攻擊者這樣做的目的可能是適配不同操作系統和CPU架構的可能的受害者。

在部分鏡像中，研究人員還發(fā)現有不同類型加密貨幣挖礦機的tag。這樣，攻擊者就可以針對受害者的硬件來選擇最好的加密貨幣挖礦機。

在這些鏡像中研究人員發(fā)現同一個鏡像中的錢包地址和礦池憑證是相同的。在這些id的幫助下，研究人員成功地對每個攻擊活動進行了分類。研究人員進一步分析還發(fā)現有大量的Docker Hub賬戶是屬于同一攻擊活動的。比如，021982、dockerxmrig、ggcloud1 和 ggcloud2等賬戶。

研究人員分析發(fā)現Docker Hub中存在用于加密貨幣挖礦攻擊活動的惡意鏡像文件，總下載超過2000萬次。其中主要進行門羅幣挖礦，保守估計加密貨幣挖礦活動獲利20萬美元。

本文翻譯自：https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/