Bösartige Docker Cryptomining Images Rack Up 20M Downloads

Cyber Security News

Öffentlich verfügbare Cloud-Images verbreiten Monero-Mining-Malware an ahnungslose Cloud-Entwickler.

Mindestens 30 bösartige Bilder in Docker Hub, mit einer kollektiven 20 Millionen Downloads, wurden verwendet, um Kryptomining-Malware zu verbreiten, nach einer Analyse.

Die bösartigen Images (verteilt auf 10 verschiedene Docker-Hub-Konten) haben laut Aviv Sasson, Forscher bei Palo Alto Networks’ Unit 42, der die bösartigen Aktivitäten gefunden und gemeldet hat, rund 200.000 Dollar mit Kryptomining verdient.

Die beliebteste Kryptowährung in den von Sasson beobachteten Instanzen war Monero, die rund 90 Prozent der Aktivität ausmachte. Monero bietet nicht nur “maximale Anonymität”, wie Sasson in einem kürzlichen Blog-Posting erklärte, aufgrund seiner versteckten Transaktionspfade – aber es ist auch einfacher, kostengünstig zu minen. Monero Krypto-Operationen können auf jeder Maschine laufen, im Gegensatz zu, sagen wir, Bitcoin, die so etwas wie eine GPU mit seiner besseren Verarbeitungsgeschwindigkeit erfordern kann, um wirtschaftlich zu minen.

In den meisten Angriffen, die Mine Monero, die Angreifer verwendet die gut getragen XMRig off-the-shelf-Miner, Sasson gefunden.

“XMRig ist ein beliebter Monero-Miner und wird von Angreifern bevorzugt, weil er einfach zu bedienen, effizient und vor allem Open Source ist”, erklärte er. “Daher können Angreifer seinen Code modifizieren. Zum Beispiel spenden die meisten Monero-Kryptominer zwangsweise einen gewissen Prozentsatz ihrer Mining-Zeit an die Entwickler des Miners. Eine häufige Modifikation, die Angreifer vornehmen, besteht darin, den Spendenprozentsatz auf Null zu ändern.”

Zwei weitere Kryptowährungen wurden in den Mining-Pools gefunden: Grin, die für 6,5 der Aktivität, und Arionum, die für 3,2 Prozent.

Öffentliche Bilder Serve Up Tailored Cryptojacking

In diesem Fall wird die Malware über trojanisierte Images in der Cloud verbreitet, die in der Container-Registry von Docker Hub öffentlich verfügbar waren, um sie für die Erstellung von Cloud-Anwendungen zu verwenden. Genau wie bei öffentlichen Code-Repositories wie npm oder Ruby kann jeder Images in ein Docker Hub-Konto hochladen.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/30161350/XMRig-300x184.png]

Verteilung von Monero-Minern. Zum Vergrößern anklicken. Quelle: Einheit 42.

Sasson fand heraus, dass die Angreifer, die hinter den bösartigen Bildern stecken, diese mit Tags versehen haben, die eine Möglichkeit darstellen, auf verschiedene Versionen desselben Bildes zu verweisen. Er stellte die Theorie auf, dass die Tags verwendet werden, um die passende Version der Malware zu liefern, je nachdem, welche Version des Bildes die Anwendung aufruft.

“Als ich die Tags der Bilder untersuchte, stellte ich fest, dass einige Bilder unterschiedliche Tags für verschiedene CPU-Architekturen oder Betriebssysteme haben”, erklärte er. “Es scheint, dass einige Angreifer vielseitig sind und diese Tags hinzufügen, um ein breites Spektrum an potenziellen Opfern abzudecken, das eine Reihe von Betriebssystemen (OS) und CPU-Architekturen umfasst. In einigen Bildern gibt es sogar Tags mit verschiedenen Arten von Kryptominern. Auf diese Weise kann der Angreifer den besten Kryptominer für die Hardware des Opfers auswählen.”

Interessanterweise war der Forscher in der Lage, die Tags mit bestimmten Wallet-Adressen zu verknüpfen, was es ihm ermöglichte, die Kampagnen zu klassifizieren.

“Nachdem ich tiefer gegraben hatte, konnte ich in einigen Fällen sehen, dass es zahlreiche Docker Hub-Konten gibt, die zur selben Kampagne gehören”, erklärte er. “Bei früheren Untersuchungen fand Unit 42 zum Beispiel das bösartige Konto azurenql. Jetzt haben wir entdeckt, dass die Kampagne breiter angelegt ist und die Konten 021982, dockerxmrig, ggcloud1 und ggcloud2 umfasst.”

Es ist sehr gut möglich, dass die von Sasson entdeckten Bilder nur die Spitze des Eisbergs sind, da die Cloud große Möglichkeiten für Kryptojacking-Angriffe bietet.

“Es ist anzunehmen, dass es viele weitere unentdeckte bösartige Images auf Docker Hub und anderen öffentlichen Registern gibt”, sagte er. “Bei meiner Untersuchung habe ich einen Cryptomining-Scanner verwendet, der nur einfache Cryptomining-Payloads erkennt. Außerdem stellte ich sicher, dass jedes identifizierte Image bösartig war, indem ich die Wallet-Adresse mit früheren Angriffen korrelierte. Selbst mit diesen einfachen Tools konnte ich Dutzende von Bildern mit Millionen von Pulls entdecken. Ich vermute, dass dieses Phänomen größer sein könnte als das, was ich gefunden habe, mit vielen Fällen, in denen die Nutzlast nicht leicht zu erkennen ist.”

Docker unter Beschuss

Docker-basierte Kryptojacking- und Malware-Angriffe sind seit mindestens 2018 auf dem Vormarsch, vor allem wegen der Menge an Pferdestärken für Mining-Operationen, die die Cloud liefern kann, erklärte Sasson.

“Die Cloud besteht aus vielen Instanzen für jedes Ziel (z. B. viele CPUs, viele Container, viele virtuelle Maschinen), was zu großen Mining-Gewinnen führen kann”, sagte er und fügte hinzu, dass die Überwachung für diesen weitläufigen Fußabdruck schwierig zu implementieren sein kann, so dass Operationen für einige Zeit unentdeckt bleiben können.

Zu den vergangenen Kampagnen gehörte ein Kryptojacking-Wurm, der sich über falsch konfigurierte Docker-Ports verbreitete; eine brandneue Linux-Backdoor namens Doki, die Docker-Server befallen hat und eine Blockchain-Wallet zur Generierung von Command-and-Control (C2)-Domain-Namen nutzte; und im Dezember entdeckten Forscher ein Monero-Kryptomining-Botnetz namens Xanthe, das falsch konfigurierte Docker-API-Installationen ausnutzte, um Linux-Systeme zu infizieren.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Veranstaltungen an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 21. April: Underground Markets: Ein Rundgang durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/30161148/Monero-Mining.png]

Einige Teile dieses Artikels stammen aus:
threatpost.com