Docker : Atacados por un nuevo gusano de criptojacking graboide

Se descubrió una nueva campaña de criptojacking utilizando imágenes de Docker para entregar un gusano que sigue un plan aparentemente errático en el que el minero está activo durante aproximadamente cuatro minutos a la vez en un host infectado.

Llamado Graboid, después del gusano de arena en la película de 1990 "Tremors", el malware se propaga a los sistemas con un motor Docker no seguro.
Los contenedores Docker son entornos aislados del sistema operativo con código y dependencias que necesita una aplicación para ejecutarse en cualquier infraestructura compatible.

Más de 2,000 hosts vulnerables / infectados

Al buscar en el motor de búsqueda Shodan, los investigadores de Palo Alto Networks encontraron más de 2,000 servicios inseguros de Docker expuestos a la web pública. Esto es forraje para Graboid.

En su análisis, los investigadores descubrieron una secuencia de comandos del servidor de comando y control (C2) de Graboid que recuperó una lista con más de 2,000 direcciones IP, lo que sugiere que el atacante ya escaneó en busca de hosts vulnerables.

No está claro cuántos de ellos se infectaron, ya que el malware selecciona los siguientes objetivos al azar de la lista.

Después de comprometer a uno de ellos, el atacante envía comandos remotos para descargar la imagen Docker "pocosow / centos" de Docker Hub y la implementa.
La imagen tiene el cliente Docker que se utiliza para comunicarse con otros hosts Docker. La actividad de criptominería (Monero) se realiza a través de un contenedor separado llamado 'gakeaws / nginx', que se hace pasar por el servidor web nginx.
'pocosow / centos' también se usa para descargar del C2 un conjunto de cuatro scripts y ejecutarlos:

•   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : envía información sobre las CPU disponibles en el host comprometido
•   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : descarga la lista de hosts vulnerables, selecciona nuevos objetivos e implementa 'pocosow / centos' en ellos a través del cliente Docker
•   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : detiene la actividad de criptominería en un host aleatorio
•   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta : selecciona una dirección aleatoria de la lista de hosts vulnerables e implementa el contenedor de criptominería 'gakeaws / nginx'

Palo Alto Networks descubrió que Graboid recibe comandos de 15 hosts comprometidos, 14 de ellos presentes en la lista de IP vulnerables y el último con más de 50 vulnerabilidades conocidas, una clara indicación de que el atacante los comprometió específicamente con fines de control de malware.
Los dos contenedores involucrados en la operación de criptojacking Graboid se han descargado miles de veces. El enmascarador CenOS tiene más de 10,000 tiradas, mientras que el nginx poser tiene alrededor de 6,500.



Graboid consulta constantemente el servidor C2 en busca de nuevos hosts vulnerables y utiliza la herramienta de cliente Docker para descargar e implementar de forma remota el contenedor infectado.

- Actividad aleatoria aparente
- Actividad aleatoria aparente

Graboid sigue un patrón que puede parecer inconstante y la razón de esto sigue sin estar clara. Las teorías como el mal diseño, la evasión o la sostenibilidad son explicaciones plausibles, dicen los investigadores en un informe de hoy.

Cada minero está activo alrededor del 60% del tiempo y la minería está limitada a 250 segundos por sesión. Además, los mineros no trabajan al mismo tiempo y ni siquiera comienzan en el momento en que se instalan.

"Elige aleatoriamente tres objetivos en cada iteración. Instala el gusano en el primer objetivo, detiene al minero en el segundo objetivo y comienza el minero en el tercer objetivo. Este procedimiento conduce a un comportamiento minero muy aleatorio" - Palo Alto Networks

En pocas palabras, los hosts comprometidos en la botnet controlan el proceso de minería en otros hosts infectados al indicarles que inicien o detengan la sesión.
En una simulación de la actividad del gusano, los investigadores determinaron que Graboid necesita aproximadamente una hora para extenderse a 1.400 hosts Docker comprometidos. Si cada uno de ellos tuviera una CPU, la red de bots tendría una potencia de minería de 900 CPU en todo momento.

En el pasado, se han informado campañas de criptojacking que involucran contenedores Docker. Un informe en noviembre del año pasado de Juniper Networks reveló que los ciberdelincuentes se estaban aprovechando de los servicios de Docker mal configurados para agregar contenedores con un script de minería Monero.
El troyano Dofloo, una botnet conocida por lanzar ataques DDoS y actividad de criptominería, durante el verano apuntó a API mal configuradas de la utilidad DevOps Docker Engine-Community.


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta