DockerHub再現(xiàn)百萬下載量黑產(chǎn)鏡像,小心你的容器被挖礦
責(zé)編:gltian |2021-09-14 10:38:53
前言
近年來云原生容器的應(yīng)用越來越流行,統(tǒng)計數(shù)據(jù)顯示高達(dá)47%生產(chǎn)環(huán)境容器鏡像會來源于公用倉庫[1],Docker Hub作為全球最大的公共容器鏡像倉庫,已然成為整個云原生應(yīng)用的軟件供應(yīng)鏈安全重要一環(huán),其鏡像的安全風(fēng)險問題對生態(tài)影響尤為重要。騰訊安全云鼎實驗室針對云原生容器安全進(jìn)行了長期研究投入,對Docker Hub的鏡像安全風(fēng)險建立了長期監(jiān)控和安全態(tài)勢分析。近期監(jiān)測到一個較大的挖礦黑產(chǎn)團(tuán)伙anandgovards(挖礦賬戶中包含了這個郵箱賬號),利用Docker Hub上傳特制挖礦鏡像,通過蠕蟲病毒快速感染docker主機(jī),進(jìn)而下載相關(guān)鏡像進(jìn)行挖礦。該黑產(chǎn)團(tuán)伙從2020年6月開始使用3個Docker Hub賬戶制作了21個惡意鏡像,累計下載傳播量達(dá)到342萬,獲取了不低于313.5個門羅幣,獲利高達(dá)54萬多人民幣。
初探惡意鏡像
針對該黑產(chǎn)團(tuán)伙anandgovards,我們通過對Docker Hub的安全監(jiān)控和分析暫時發(fā)現(xiàn)3個相關(guān)賬戶,共涉及21個鏡像,其中最高的下載量達(dá)到百萬。通常黑產(chǎn)通過蠕蟲病毒感染docker主機(jī),入侵成功后,再自動下拉這些黑產(chǎn)鏡像到本地運(yùn)行進(jìn)行挖礦獲利。
該黑產(chǎn)相關(guān)3個賬戶名為abtechbed、svagamx、srinivasram,其中srinivasram相關(guān)鏡像申請日期為2020年5月,abtechbed相關(guān)鏡像的申請日期為2020年6月到2020年12月,svagamx相關(guān)鏡像申請日期為2021年4月16日。挖礦賬戶活躍到2021年5月,挖礦活動持續(xù)時間長達(dá)一年。
abtechbed賬戶中的鏡像信息:
srinivasram賬戶中的鏡像信息:
svagamx賬戶中的鏡像信息:
下表提供了此Docker?Hub帳戶下部分鏡像下載量及錢包地址,鏡像最高下載量達(dá)到了157萬次。
(1)黑產(chǎn)團(tuán)伙來源:
在挖礦的賬戶配置中,我們發(fā)現(xiàn)兩個郵件賬戶信息,
anandgovards@gmail.com
visranpaul@outlook.com
包括Docker Hub賬戶名,abtechbed、svagamx、srinivasram字符和愛爾尼亞、冰島語系。我們有理由相信,這個黑產(chǎn)組織來自歐洲。
(2)黑產(chǎn)團(tuán)伙關(guān)聯(lián)
云鼎實驗室通過安全大數(shù)據(jù)圖計算引擎,關(guān)聯(lián)分析了大約10萬個鏡像信息,關(guān)聯(lián)分析其中錢包ID、鏡像賬號、礦池等信息,發(fā)現(xiàn)abtechbed、svagamx,srinivasram使用了同一個挖礦錢包地址,表明這幾個鏡像賬戶屬于同一個黑產(chǎn)組織。
(3)黑產(chǎn)攻擊流程及盈利方式:
黑產(chǎn)通過蠕蟲病毒進(jìn)行大規(guī)模感染docker主機(jī),之后被感染的docker主機(jī)從Docker Hub下拉相關(guān)挖礦鏡像到本地運(yùn)行,進(jìn)行挖礦獲利。
相關(guān)流程圖如下:
相關(guān)門羅幣賬戶在2021年5月份依然活躍,累計收入最多的賬戶是
8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg,錢包收入232個門羅幣,價值約為405,025人民幣。
相關(guān)挖礦病毒的攻擊趨勢
惡意鏡像的下載量可以一定程度表示相關(guān)蠕蟲的攻擊趨勢,實驗室通過安全監(jiān)測發(fā)現(xiàn)2020年下半年,針對docker容器的相關(guān)蠕蟲攻擊趨勢增長十分明顯,2020年5月份、12月份上傳的惡意鏡像下載量達(dá)到百萬,但2021年4月份新上傳的惡意鏡像下載量卻有限,表明4月份到現(xiàn)在,相關(guān)蠕蟲病毒的攻擊范圍和影響范圍正在縮小。
總結(jié)
隨著容器應(yīng)用發(fā)展加速,頻繁爆出容器相關(guān)的安全事件,黑產(chǎn)團(tuán)伙通過容器服務(wù)器的漏洞傳播的蠕蟲病毒,通過下拉挖礦鏡像進(jìn)行獲利,已然是現(xiàn)階段容器相關(guān)黑產(chǎn)的主流手段。除了下載挖礦鏡像以外,現(xiàn)有的模式可以輕松將挖礦鏡像替換成其他惡意軟件,造成更大的破壞。
當(dāng)企業(yè)在享受云原生帶來的技術(shù)紅利時,也應(yīng)該重視和建立起容器安全防護(hù)體系。以下是一些容器應(yīng)用的安全建議:
- 避免使用Docker過程中將2375端口暴露公網(wǎng);
- 公網(wǎng)中使用TLS的docker remote api;
- 不推薦下載和使用未知來源的鏡像;
- 經(jīng)常檢查系統(tǒng)中是否存在異常未知鏡像或容器;
- 使用騰訊云容器安全解決方案可以識別惡意容器并阻止惡意挖礦等活動:
- https://cloud.tencent.com/product/tcss
騰訊云容器安全
騰訊安全持續(xù)在容器安全上進(jìn)行投入和相關(guān)研究,構(gòu)建了完整的容器安全防護(hù)和服務(wù)保障體系。
[1] https://dig.sysdig.com/c/pf-2021-container-security-and-usage-report?x=u_WFRi&utm_source=gated-organic&utm_medium=website
來源:安全客
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!