Palo Alto Network的安全研究員Aviv Sasson發(fā)現(xiàn)了30個(gè)被植入挖礦木馬的Docker鏡像，這些鏡像總計(jì)被下載了2000萬(wàn)次。

安全專家檢查了礦池確定挖礦的賬戶持有的加密貨幣總量。Aviv Sasson發(fā)現(xiàn)在兩年內(nèi)攻擊者持有的最大的礦池挖掘了價(jià)值 200000 美元的加密貨幣。

在容器鏡像中植入挖礦木馬是一種快速利用他人計(jì)算機(jī)資源幫助攻擊者挖掘加密貨幣的方式。安全專家在深入調(diào)查了Docker Hub后，發(fā)現(xiàn)了30個(gè)惡意鏡像，共計(jì)被拉取2000萬(wàn)次，攻擊者利用此獲利超過(guò) 20 萬(wàn)美元。

Docker Hub是世界上最大的容器鏡像托管社區(qū)，有來(lái)自軟件供應(yīng)商、開(kāi)源項(xiàng)目的超過(guò)十萬(wàn)個(gè)容器鏡像。

在大多數(shù)鏡像中，攻擊者挖掘門(mén)羅幣(90.3%)，也挖掘其他的加密貨幣如GRIN(6.5%)、ARO(3.2%)。在挖掘門(mén)羅幣時(shí)，攻擊者主要使用XMRig挖礦，也有少量的Hildegard與Graboid。

Palo Alto Network在報(bào)告中表示：“XMRig確實(shí)是受歡迎的，非常易于使用、高效而且開(kāi)源。攻擊者可以自己修改代碼，所以攻擊者非常喜歡使用XMRig”。

“正常情況下很多礦工都會(huì)將一部分算力捐贈(zèng)給開(kāi)發(fā)人員，攻擊者常見(jiàn)的會(huì)將捐贈(zèng)比例修改為0”。

研究人員注意到，某些鏡像針對(duì)不同體系架構(gòu)的CPU或操作系統(tǒng)有不同的標(biāo)簽，攻擊者可以根據(jù)受害者的硬件選擇最合適的礦工進(jìn)行加密貨幣的挖掘。

這些礦機(jī)都有相同的錢(qián)包地址，安全專家發(fā)現(xiàn)在這些惡意的賬戶以前也與密碼竊取事件相關(guān)。

云的普及為劫持提供了巨大的機(jī)會(huì)，安全專家開(kāi)發(fā)了一個(gè)加密貨幣挖礦掃描工具，識(shí)別工具的有效載荷和錢(qián)包地址。即使通過(guò)簡(jiǎn)單的工具，在幾百萬(wàn)個(gè)鏡像里就可以發(fā)現(xiàn)幾十個(gè)惡意鏡像。

安全研究人員認(rèn)為，這種問(wèn)題可能比想象的更嚴(yán)重，有很多挖礦工具的有效載荷不容易被檢測(cè)出來(lái)。

Docker 鏡像

021982/155_138 
021982/66_42_53_57 
021982/66_42_93_164 
021982/xmrig 
021982/xmrig1 
021982/xmrig2 
021982/xmrig3 
021982/xmrig4 
021982/xmrig5 
021982/xmrig6 
021982/xmrig7 
avfinder/gmdr 
avfinder/mdadmd 
docheck/ax 
docheck/health 
dockerxmrig/proxy1 
dockerxmrig/proxy2 
ggcloud1/ggcloud 
ggcloud2/ggcloud 
kblockdkblockd/kblockd 
osekugatty/picture124 
osekugatty/picture128 
tempsbro/tempsbro 
tempsbro/tempsbro1 
toradmanfrom/toradmanfrom 
toradmanfrom/toradmanfrom1 
xmrigdocker/docker2 
xmrigdocker/docker3 
xmrigdocker/xmrig 
xmrigdocker/xmrig 
zenidine/nizadam 

參考來(lái)源：

• paloaltnetworks(https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/)
• SecurityAffairs(https://securityaffairs.co/wordpress/116111/cyber-crime/docker-cryptojacking-attacks.html)