威胁快报新兴挖矿团伙借助shodan作恶非web应用安全再鸣警钟

39次阅读

共计 2342 个字符,预计需要花费 6 分钟才能阅读完成。

近日,阿里云安全发现了一个使用未授权访问漏洞部署恶意 Docker 镜像进行挖矿的僵尸网络团伙。我们给这一团伙取名为 Xulu,因为该团伙使用这个字符串作为挖矿时的用户名。

Xulu 并不是第一个攻击 Docker 的恶意挖矿团伙,但它不同于其他僵尸网络。Xulu 感染一台服务器后,并不对外进行大规模扫描,而是使用 OSINT 技术,即利用开源情报,动态地从 shodan 网站获得可能的“猎物”ip 列表。

此外,Xulu 僵尸网络将自己的服务器放在 Tor 洋葱网络中,这使得对幕后黑手的追溯变得更加困难。

会挖矿的恶意 Docker 镜像

Docker 容器是一个开源的应用容器引擎,可以让开发者打包他们的应用及依赖包到一个轻量级、可移植的容器中,从而在不同环境中可靠运行。

近年来随着微服务的流行,越来越多的企业在部署应用时使用容器,然而在这一过程中安全往往没有得到应有的重视,导致 Docker 容器在多起事件中成为网络攻击的靶子。

在本次 Xulu 僵尸网络事件中,我们注意到沦陷服务器上都被创建了镜像名为 zoolu2/auto 的恶意容器。

这些恶意容器中运行着如下进程

其中的挖矿进程很容易分辨:

/toolbin/darwin -o us-east.cryptonight-hub.miningpoolhub.com:20580 -u xulu.autodeploy -p x --currency monero -i 0 -c conf.txt -r

尽管 miningpoolhub.com 是公开矿池,但由于它不提供每个用户的历史收益数据,我们无从得知攻击者从恶意挖矿中总共赚了多少钱。

僵尸网络的传播和持久化

Xulu 僵尸网络进行自身的传播和持久化的过程中,使用了 OSINT 技术并借助了洋葱网络。

首先,该僵尸网络的控制服务器地址是 http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion。”.onion” 后缀表明这是一个必须通过洋葱匿名网络访问的“洋葱服务”(又名“隐藏服务”)。

该僵尸网络以 /toolbin/shodaemon 作为守护进程:

不难看出该脚本下载了 http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt,与本地硬编码的 /toolbin/hcode.txt 文件内容一起存入 search.txt

运行 /toolbin/shodan,读取 search.txt 的列表并对 shodan 发送如上图所示的查询。

这些查询会返回互联网上一系列开放了 Docker 服务 (2375 端口) 的主机 ip。尽管这些主机并非每个都存在漏洞,但攻击者仍然通过使用 shodan 的信息,避免了大规模扫描的进行。

在获取了使用 Docker 服务的主机列表并去除重复 ip 后,已沦陷的主机会向表中 ip 发送 docker run 命令,其中未授权访问漏洞的 Docker 服务将被部署 ”zoolu2/auto” 恶意镜像,从而完成蠕虫的传播。

此外,Xulu 僵尸网络还会每 30 分钟下载并执行从 http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt 下载的脚本,从而保持自身在受害主机上的活跃。

受害规模和安全建议

在 docker hub 官网我们可以看到,前文提到的 ”zoolu2/auto” 已被下载超过 1 万次:

并且僵尸网络作者似乎仍在积极开发变种:

  • 为了避免您成为此种恶意入侵和挖矿事件的受害者,阿里云安全为您提供如下安全建议:
  • 不要将对内使用的服务 (如 Docker) 开放在互联网上,应使用 ACL 或复杂密码等措施来保证仅有受到信任的用户才可以访问这些服务。
  • 因为基于洋葱网络的“隐藏服务”已被用于多个僵尸网络的传播,不常使用洋葱网络服务的用户可以使用如下命令对其进行屏蔽:echo -e “n0.0.0.0 .onion” >> /etc/hosts
  • 我们推荐您使用阿里云下一代防火墙,因为它在阻止、拦截此类需要外联的攻击时十分有效。用户将在 AI 技术的帮助下,免于恶意挖矿事件的困扰
  • 我们同样推荐阿里云安全管家服务。该服务的用户可以就碰到的问题随时咨询安全专家。安全专家还可以帮助用户进行安全加固、事件溯源、蠕虫清理等

IOC

control server:

http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion

url:

http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt
http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt

pool:
us-east.cryptonight-hub.miningpoolhub.com:20580

md5:

c29dfe75862b6aed91bec4ffc7b20b9c

Reference

  1. https://www.alibabacloud.com/blog/dockerkiller-threat-analysis-first-instance-of-batch-attack-and-exploitation-of-docker-services_593947
  2. https://www.docker.com/resources/what-container

本文作者:云安全专家

阅读原文

本文为云栖社区原创内容,未经允许不得转载。

正文完
 0