Nul
Onderzoekers hebben gedetailleerde hoe Docker containers worden steeds een belangrijk doelwit voor cryptojackers in een tijd waarin frauduleuze cryptocurrency mining is een lucratieve business.
Cybercriminelen zijn weg te draaien van ransomware-implementaties in hun drommen in het voordeel van cryptocurrency malware.
Bekend als cryptojacking, deze malware-varianten zullen plunderen de Cpu ‘ s van geïnfecteerde machines om deze te stelen rekenkracht om mijn virtuele munten zoals Ethereum (ETH) en Monero (XMR), waarvan deze cryptocurrencies worden vervolgens verstuurd naar portefeuilles beheerd door aanvallers.
Het probleem wordt steeds meer verspreid. In recente tijden, gevangenisstraffen zijn uitgegeven cryptojacking exploitanten, de universiteiten zijn gesloten netwerken om te stoppen cryptocurrency mijnbouw, routers hebben tot slaaf gemaakt voor cryptojacking doeleinden, en één op de drie organisaties hebben gemeld crypojacking aanvallen.
Docker containers zijn standaard eenheden van de software het pakket up-code en alle afhankelijkheden gekoppeld is aan hen om te verhogen de snelheid van applicaties verplaatsen van de ene computer omgeving naar de andere.
Deze lichtgewicht tools kunt u handige tools binnen de ontwikkeling van de applicatie-implementatie levenscyclus en volgens Docker, meer dan 3,5 miljoen applicaties zijn geplaatst in containers met deze technologie.
Zie ook: Wat is de Docker en waarom is het zo verrekte populair?
Echter, terwijl het Koppelvenster toeneemt in populariteit met IT-professionals, cybercriminelen zijn ook onderzoeken hoe het container-technologie kan worden benut voor hun eigen doeleinden.
Onderzoekers van Bedreiging Stack gedeeld inzicht met ZDNet in hoe cryptojacking aanvallen zijn nu plaatsvindt tegen recipiënten die worden gebruikt door de onderneming.
Te lezen op: KingMiner malware kaapt de volledige kracht van Windows Server Cpu ‘ s
De eerste fase van de aanval is te herkennen aan de voorzijde systemen en websites kwetsbaar voor externe code-injectie aanvallen. Een opdracht wordt verzonden via de application layer-vaak door middel van het manipuleren van een veld op een domein of via een open API in de URL van een website, of “het aftasten van een ingesloten shell console meestal te vinden op de code verwezen websites”, aldus de onderzoekers.
De geïnjecteerde code vervolgens filters naar beneden naar de back-end van het besturingssysteem en vindt uiteindelijk zijn weg naar de container omgeving.
De tweede fase van zo ‘ n aanval wordt gestart wanneer de container wordt gesponnen. In recente aanvallen gespot, de code wordt uitgevoerd en opdrachten worden direct verzonden naar het shell binnen een Docker container.
“Hoewel beperkt tot de container verkleinde weergave van het host-besturingssysteem, kan de aanvaller nu willekeurig uitvoeren van niet-vertrouwde code,” Bedreiging Stapel zegt.
TechRepublic: Hoe tech leiders in bedrijven kan worden van een meer inclusieve
In de derde fase, een cryptomining malware wordt gedownload via een wget commando. In de aanvallen die zijn waargenomen-to-date, CNRig is gebruikt om machines te infecteren.
De lading maakt gebruik van de CryptoNight algoritme is geschreven in C++, en is compatibel met Linux Cpu ‘ s. Op basis van de XMRig Monero rig, CNRig bevat ook automatische update-mogelijkheden.
Bedreiging Stapel zegt dat de snelheid van deze fase suggereert dat automatische scripts zijn voor het uitvoeren van de lading, die wordt gevolgd door het wijzigen van machtigingen op de CNRig uitvoerbaar ervoor te zorgen dat het werkt, zonder enige noodzaak voor verdere verificatie.
De cryptojacking laadvermogen loopt uit van de /tmp directory.
CNRig zal dan proberen vast te stellen drie aansluitingen; twee aan het creëren van een veilige route tussen de geïnfecteerde machine en de aanvaller mijnbouw zwembad, en één uit een CDN. Echter, in de gevallen die momenteel op de plaat, deze pogingen zijn niet altijd succesvol door te netwerken laag bescherming en firewalls.
CNET: Microsoft doelen nep-support centers in India
Bedreiging Stapel vertelde ZDNet dat het bedrijf heeft gedetecteerd een “toenemend aantal aanvallers targeting container orchestration tools zoals Docker en verwachten dat deze trend verder zal doorzetten naarmate meer organisaties implementeren van containers.’
De aanval is een interessante en niet meteen in verband te cryptojacking. Echter, wanneer het geld is gemaakt, aanvallers vaak blijken zich vindingrijk en innovatief.
Om zichzelf te beschermen tegen deze bedreigingen, het bedrijf zegt dat enterprise spelers moeten ervoor zorgen dat de onderliggende bestanden zijn niet beschrijfbare van containers; zachte en harde limieten zijn ingesteld op het CPU-verbruik en-waarschuwingen moeten worden ingeschakeld voor als interactieve schelpen zijn gestart,
Vorige en aanverwante dekking
De universiteit wordt afgesloten netwerk te dwarsbomen Bitcoin cryptojacking regeling MikroTik routers tot slaaf gemaakt in massief Coinhive cryptojacking campagne Windows-hulpprogramma gebruikt door malware in de nieuwe informatie-diefstal campagnes
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0