Trend Micro研究小组观察到攻击者正在攻击Docker远程API服务器,以在受控实例上部署SRBMiner加密矿工。骗子使用gRPC协议-over-h2c来绕过安全机制,并在Docker主机上执行加密挖矿,通过gRPC方法来操纵Docker功能性。
Trend Micro发布的分析中写道:“攻击者首先检查Docker API的可用性和版本,然后继续请求gRPC/h2c升级和gRPC方法,以操纵Docker功能性。然后,攻击者从GitHub下载并部署SRBMiner加密矿工,并将矿工矿石发送到cryptocurrency钱包和公共IP地址。”
攻击开始于扫描公开-facing Docker API主机,并检查HTTP/2升级,然后是对未加密的h2c协议的连接升级请求。然后,攻击者检查gRPC方法来执行Docker环境操作,包括健康检查、文件同步、身份验证、机密管理和SSH转发等。攻击者然后请求通过h2c协议的升级。
一旦服务器处理了连接升级请求,并使用gRPC请求传递了所有所需的参数,攻击者就发送/moby.buildkit.v1.Control/Solve gRPC请求来构建Docker镜像基于Dockerfile.srb的Docker容器(继续分析)。Dockerfile.srb包含基于合法的Docker镜像、debian:bookworm-slim的Docker容器构建细节。
攻击者从GitHub下载SRBMiner,解压到临时目录,然后在/usr/sbin目录中部署它。然后,攻击者使用Ripple钱包启动挖矿过程,并通过将点号替换为下划线来mask公共IP地址。报告的结论是:“黑客可以利用远程管理API的特性,以便将SRBMiner cryptominer部署到Docker主机上,并非法地挖掘XRP加密货币。”
在这个案例中,恶意actor利用了gRPC协议-over-H2C,有效地绕过了多个安全层来部署SRBMiner cryptominer,并非法地挖掘XRP加密货币。
原文始发于微信公众号(黑猫安全):骗子正在攻击Docker API服务器以部署SRBMiner挖矿恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论