Noll
Forskare har detaljerade hur Docker behållare är att bli ett utmärkt mål för cryptojackers i en tid när bedrägliga cryptocurrency mining är en lukrativ verksamhet.
Cyberbrottslingar är att vända sig bort från ransomware installationer i stora skaror till förmån för cryptocurrency malware.
Känd som cryptojacking, dessa malware-varianter som kommer att plundra Processorer av infekterade datorer för att stjäla datorkraft för att bryta för virtuella mynt som Ethereum (ETH) och Monero (XMR), som dessa cryptocurrencies skickas sedan till plånböcker kontrolleras av angripare.
Problemet blir mer utbredd. Under den senaste tiden, fängelsestraff har utfärdats till cryptojacking aktörer, universitet har stängt ner nät för att stoppa cryptocurrency gruvdrift, routrar har blivit förslavade för cryptojacking ändamål, och en av tre organisationer har rapporterat crypojacking attacker.
Docker behållare som är standard enheter av program som paketet upp koden och alla beroenden kopplade till dem för att öka hastigheten av applikationer flytta från en datormiljö till en annan.
Dessa lätta verktyg som kan vara användbara verktyg inom applikationsutveckling-distribution livscykel och enligt Hamnarbetare, över 3,5 miljoner ansökningar har placerats i behållare med hjälp av sådan teknik.
Se även: Vad är Docker och varför är det så jäkla populär?
Men medan Docker ökar i popularitet med IT-proffs, it-brottslighet är också att undersöka hur den container teknik kan utnyttjas för egna syften.
Forskare från Hot Stack gemensam insikt med ZDNet i hur cryptojacking angrepp som nu sker mot behållare som används av företaget.
Läs vidare: KingMiner malware kapar den fulla kraften av Windows Server Processorer
Den första etappen av attack är att identifiera framåtvända system och webbplatser utsatta för fjärrkörning av kod injektion attacker. Ett kommando skickas genom tillämpning lager-ofta genom att manipulera ett textfält på en domän eller via ett öppet API i en WEBBADRESS till en webbplats, eller genom att “sondera ett inbyggt shell konsolen som ofta finns på kod referens webbplatser”, enligt forskarna.
Den infogade koden filtrerar sedan ner till back-end-operativsystem och så småningom finner sin väg till behållare miljö.
Den andra fasen av sådana attacker initierar när behållaren är snurrade upp. I den senaste tidens attacker fläckig, koden exekveras och kommandon skickas direkt till skalet i en Docker behållare.
“Medan begränsas till att behållaren är reducerad bild av den mottagande operativsystem, angriparen kan nu godtyckligt köra opålitlig kod,” Hot Stack säger.
TechRepublic: Hur teknisk ledare på företag kan vara mer inkluderande
I steg tre, en cryptomining malware är hämtat genom en wget kommandot. I attacker som har observerats, CNRig har använts för att infektera datorer.
Nyttolasten använder CryptoNight algoritm, som är skriven i C++, och är kompatibel med Linux-Processorer. Baserat på XMRig Monero rig, CNRig innehåller även automatisk uppdatering kapacitet.
Hot Stack säger att hastigheten i detta skede tyder på att automatiska skript finns på plats för att utföra nyttolast, som följs av att ändra behörigheter på CNRig körbara filen för att se till att det fungerar utan behov av ytterligare autentisering.
Den cryptojacking nyttolast rinner ut i katalogen /tmp.
CNRig kommer sedan att försöka etablera tre anslutningar, två för att skapa en säker väg mellan den infekterade maskinen och angriparens mining pool, och en till CDN. Dock, i de fall som för närvarande på att spela in, dessa försök är inte alltid framgångsrika på grund av nätverk lager skydd och brandväggar.
CNET: Microsoft mål falska support center i Indien
Hot Stack berättade ZDNet att bolaget har upptäckt en “ökande antalet angripare inriktning behållare orkestrering verktyg som Hamnarbetare och förvänta sig att se denna trend att fortsätta som flera av de organisationer som distribuerar behållare.’
Den angreppspunkten är intressant och inte omedelbart framgår i anslutning till cryptojacking. Men när pengar ska göras, angriparna ofta visa sig påhittiga och innovativa.
För att skydda sig mot sådana hot, företaget säger att företaget spelare bör se till att underliggande filer är inte skrivbar från behållare, mjuka och hårda gränser sätts på CPU-förbrukning, och registreringar bör vara aktiverat för när interaktiva skal är lanserade,
Tidigare och relaterade täckning
Universitetet stänger ner nätet för att förhindra Bitcoin cryptojacking system MikroTik routrar förslavade i massiv Coinhive cryptojacking kampanj Windows-verktyg som används av skadlig kod i ny information stöld kampanjer
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0