Uma nova campanha de cryptojacking foi descoberta usando imagens do Docker para fornecer um worm que segue um plano aparentemente irregular, em que o mineiro fica ativo por cerca de quatro minutos por vez em um host infectado.
Nomeado Graboid, após o verme da areia no filme de 1990 “Tremores”, o malware se espalha para os sistemas com um mecanismo Docker não seguro.
Os contêineres do Docker são ambientes isolados do sistema operacional com código e dependências necessárias para que um aplicativo execute o mesmo em qualquer infraestrutura suportada.
Mais de 2.000 hosts vulneráveis / infectados
Pesquisando no mecanismo de busca Shodan, os pesquisadores da Palo Alto Networks encontraram mais de 2.000 serviços Docker inseguros expostos à web pública. Isso é forragem para Graboid.
Em sua análise, os pesquisadores descobriram um script do servidor de comando e controle (C2) da Graboid que recuperou uma lista com mais de 2.000 endereços IP, sugerindo que o invasor já havia procurado por hosts vulneráveis.
Não está claro quantos deles foram infectados, pois o malware seleciona os próximos alvos aleatoriamente da lista.
Após comprometer um deles, o invasor envia comandos remotos para baixar a imagem do Docker “pocosow / centos” do Docker Hub e a implanta.
A imagem possui o cliente Docker usado para se comunicar com outros hosts do Docker. A atividade de criptografia (Monero) é realizada em um contêiner separado chamado ‘gakeaws / nginx’, que se apresenta como o servidor da web nginx.
‘pocosow / centos’ também é usado para baixar do C2 um conjunto de quatro scripts e executá-los:
- live.sh – envia informações sobre CPUs disponíveis no host comprometido
- worm.sh – baixa a lista de hosts vulneráveis, seleciona novos destinos e implanta ‘pocosow / centos’ neles através do cliente Docker
- cleanxmr.sh – interrompe a atividade de criptografia em um host aleatório
- xmr.sh – seleciona um endereço aleatório da lista de hosts vulneráveis e implementa o contêiner de criptografia ‘gakeaws / nginx’
A Palo Alto Networks descobriu que o Graboid recebe comandos de 15 hosts comprometidos, 14 deles presentes na lista de IPs vulneráveis e o último com mais de 50 vulnerabilidades conhecidas, uma indicação clara de que o invasor os comprometeu especificamente para fins de controle de malware.
Os dois contêineres envolvidos na operação de criptografia do Graboid foram baixados milhares de vezes. O masquerader CenOS tem mais de 10.000 puxões, enquanto o poser nginx tem cerca de 6.500.
A Graboid consulta constantemente o servidor C2 em busca de novos hosts vulneráveis e usa a ferramenta cliente Docker para baixar e implantar remotamente o contêiner infectado.
Atividade aleatória aparente
Atividade aleatória aparente: Graboid segue um padrão que pode parecer inconstante e a razão para isso permanece incerta. Teorias como mau design, evasão ou sustentabilidade são explicações plausíveis, dizem os pesquisadores em um relatório hoje.
Cada minerador está ativo cerca de 60% do tempo e a mineração é limitada a 250 segundos por sessão. Além disso, os mineiros não trabalham ao mesmo tempo e nem começam no momento em que são instalados.
“Ele escolhe três alvos aleatoriamente em cada iteração. Ele instala o worm no primeiro alvo, interrompe o mineiro no segundo alvo e inicia o mineiro no terceiro alvo. Esse procedimento leva a um comportamento de mineração muito aleatório”
Palo Alto Networks
Simplificando, os hosts comprometidos na botnet controlam o processo de mineração em outros hosts infectados, instruindo-os a iniciar ou parar a sessão.
Em uma simulação da atividade do worm, os pesquisadores determinaram que o Graboid precisa de cerca de uma hora para se espalhar para 1.400 hosts Docker comprometidos. Se cada um deles tivesse uma CPU, a botnet teria uma potência de mineração de 900 CPUs o tempo todo.
As campanhas de criptojacking envolvendo contêineres do Docker foram relatadas no passado. Um relatório da Juniper Networks em novembro do ano passado revelou que os cibercriminosos estavam aproveitando os serviços Docker configurados incorretamente para adicionar contêineres com um script de mineração Monero.
O Dofloo trojan, uma botnet conhecida por lançar ataques DDoS e atividade de criptografia, durante o verão teve como alvo APIs mal configuradas do utilitário Docker Engine-Community DevOps.
Deixe seu comentário abaixo para sabermos à sua opinião em relação a este artigo. Também visite-nós em: https://www.deltaservers.com.br/ para saber todas as novidades que preparamos para você no nosso site oficial.
