DockerHub再現百萬下載量黑產映象,小心你的容器被挖礦
前言
近年來雲原生容器的應用越來越流行,統計資料顯示高達47%生產環境容器映象會來源於公用倉庫[1],Docker Hub作為全球最大的公共容器映象倉庫,已然成為整個雲原生應用的軟體供應鏈安全重要一環,其映象的安全風險問題對生態影響尤為重要。騰訊安全雲鼎實驗室針對雲原生容器安全進行了長期研究投入,對Docker Hub的映象安全風險建立了長期監控和安全態勢分析。近期監測到一個較大的挖礦黑產團伙anandgovards(挖礦賬戶中包含了這個郵箱賬號),利用Docker Hub上傳特製挖礦映象,透過蠕蟲病毒快速感染docker主機,進而下載相關映象進行挖礦。該黑產團伙從2020年6月開始使用3個Docker Hub賬戶製作了21個惡意映象,累計下載傳播量達到342萬,獲取了不低於313.5個門羅幣,獲利高達54萬多人民幣。
初探黑產惡意映象
針對該黑產團伙anandgovards,我們透過對Docker Hub的安全監控和分析暫時發現3個相關賬戶,共涉及21個映象,其中最高的下載量達到百萬。通常黑產透過蠕蟲病毒感染docker主機,入侵成功後,再自動下拉這些黑產映象到本地執行進行挖礦獲利。
該黑產相關3個賬戶名為abtechbed、svagamx、srinivasram,其中srinivasram相關映象申請日期為2020年5月,abtechbed相關映象的申請日期為2020年6月到2020年12月,svagamx相關映象申請日期為2021年4月16日。挖礦賬戶活躍到2021年5月,挖礦活動持續時間長達一年。
abtechbed賬戶中的映象資訊:
srinivasram賬戶中的映象資訊:
svagamx賬戶中的映象資訊:
下表提供了此Docker Hub帳戶下部分映象下載量及錢包地址,映象最高下載量達到了157萬次。
黑產團伙溯源分析
(1)黑產團伙來源:
在挖礦的賬戶配置中,我們發現兩個郵件賬戶資訊,
anandgovards@gmail.com
visranpaul@outlook.com
包括Docker Hub賬戶名,abtechbed、svagamx、srinivasram字元和愛爾尼亞、冰島語系。我們有理由相信,這個黑產組織來自歐洲。
(2)黑產團伙關聯
雲鼎實驗室透過安全大資料圖計算引擎,關聯分析了大約10萬個映象資訊,關聯分析其中錢包ID、映象賬號、礦池等資訊,發現abtechbed、svagamx,srinivasram使用了同一個挖礦錢包地址,表明這幾個映象賬戶屬於同一個黑產組織。
(3)黑產攻擊流程及盈利方式:
黑產透過蠕蟲病毒進行大規模感染docker主機,之後被感染的docker主機從Docker Hub下拉相關挖礦映象到本地執行,進行挖礦獲利。
相關流程圖如下:
相關門羅幣賬戶在2021年5月份依然活躍,累計收入最多的賬戶是
8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg,錢包收入232個門羅幣,價值約為405,025人民幣。
相關挖礦病毒的攻擊趨勢
惡意映象的下載量可以一定程度表示相關蠕蟲的攻擊趨勢,實驗室透過安全監測發現2020年下半年,針對docker容器的相關蠕蟲攻擊趨勢增長十分明顯,2020年5月份、12月份上傳的惡意映象下載量達到百萬,但2021年4月份新上傳的惡意映象下載量卻有限,表明4月份到現在,相關蠕蟲病毒的攻擊範圍和影響範圍正在縮小。
總結
隨著容器應用發展加速,頻繁爆出容器相關的安全事件,黑產團伙透過容器伺服器的漏洞傳播的蠕蟲病毒,透過下拉挖礦映象進行獲利,已然是現階段容器相關黑產的主流手段。除了下載挖礦映象以外,現有的模式可以輕鬆將挖礦映象替換成其他惡意軟體,造成更大的破壞。
當企業在享受雲原生帶來的技術紅利時,也應該重視和建立起容器安全防護體系。以下是一些容器應用的安全建議:
避免使用Docker過程中將2375埠暴露公網;
公網中使用TLS的docker remote api;
不推薦下載和使用未知來源的映象;
經常檢查系統中是否存在異常未知映象或容器;
- 使用騰訊雲容器安全解決方案可以識別惡意容器並阻止惡意挖礦等活動:https://cloud.tencent.com/product/tcss
騰訊雲容器安全
騰訊安全持續在容器安全上進行投入和相關研究,構建了完整的容器安全防護和服務保障體系,針對容器環境下的安全問題,騰訊雲容器安全服務透過資產管理、映象安全、執行時安全、安全基線四大核心能力來保障容器的全生命週期安全,為企業提供映象掃描、執行時安全檢測(容器逃逸、反彈shell、檔案查殺等)、高階防禦(程式檢測、訪問控制、高危系統呼叫等)、安全基線檢測、資產管理等安全防護功能,幫助企業及時發現容器安全風險並快速構建容器安全防護體系。
參考文獻
相關文章
- 區塊鏈太火,小心你的伺服器被動挖礦區塊鏈伺服器
- docker Redis 被挖礦場景復現DockerRedis
- docker 打包映象推送至dockerhubDocker
- 小心,別讓您的電腦成為他人的“挖礦”工具
- 比特幣如何挖礦(挖礦原理)-工作量證明比特幣
- 工作量證明挖礦
- CPU被挖礦,Redis竟是內鬼!Redis
- 百萬下載量應用程式悄悄利用使用者裝置挖萊特幣和狗幣
- 挖礦木馬猖獗,360安全衛士破解“黑礦工”之困
- 突破 DockerHub 限制,全映象加速服務Docker
- docker製作自己的映象並上傳dockerhubDocker
- 11 個 Ruby 庫被植入挖礦後門程式碼,刪除前已被下載 3584 次
- Google BBR黑科技,讓你的下載速度翻倍!Go
- 你還再為下載jar包慢而煩惱嗎?Maven配置阿里雲映象JARMaven阿里
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理比特幣GPU
- 入侵1500個雲服務賬號建立百萬虛擬機器挖礦,幕後駭客被逮捕虛擬機
- 解決阿里雲伺服器被挖礦阿里伺服器
- 小心Android加密貨幣雲挖礦服務!詐騙App已氾濫Android加密APP
- iOS挖礦瞭解一下?iOS
- 巨蟹帶你在BitShares上挖礦
- Docker-映象釋出到Dockerhub和阿里雲Docker阿里
- docker Redis 被任意連結 導致被 kdevtmpfsi 挖礦記錄DockerRedisdev
- 下載量超過一億的流行應用被發現含有惡意模組
- 容器安全公開課 | 揭秘容器黑產,探討容器安全解決方案
- 全球最大的金礦:年產量最高的金礦TOP10
- 分享一次伺服器被挖礦的處理方法伺服器
- 如何解決centos伺服器被植入挖礦病毒CentOS伺服器
- 什麼?上千個NPM元件被植入挖礦程式!NPM元件
- EPK怎麼挖礦?EPK挖礦教程詳情
- 全面清理整頓挖礦病毒,如何防止被通報?深信服挖礦病毒防護解決方案出爐
- docker下載映象加速Docker
- androidsdk下載映象Android
- Ubuntu映象下載教程Ubuntu
- 痛心:實驗室伺服器被挖礦怎麼辦?伺服器
- 公司伺服器被入侵植入挖礦軟體,如何追查?伺服器
- 阿里雲伺服器被挖礦怎麼解決阿里伺服器
- 支援雙系統挖礦,警惕新型挖礦病毒入侵
- 有人說DockerHub上三成的映象包含漏洞?扯嗎不是?Docker