容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击

admin 2025年5月26日13:28:57评论17 views字数 1606阅读5分21秒阅读模式
容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击
容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击

卡巴斯基实验室发现一起新型恶意软件攻击活动,该攻击将暴露的Docker容器转化为可自我复制的Dero加密货币挖矿机,且无需依赖命令控制服务器(C2)即可运行。

报告开篇描述:"想象一场容器僵尸爆发——单个受感染容器会扫描互联网寻找暴露的Docker API...入侵正在运行的容器,将其转化为新的'僵尸'来挖掘Dero币,并继续'咬噬'新受害者"

容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击

Part01

恶意软件双重攻击组件

卡巴斯基在入侵评估中发现,该攻击包含两个用Go语言编写的核心组件:

  • nginx:伪装成知名Web服务器的传播蠕虫

  • cloud:定制化Dero挖矿程序,内含加密硬编码的钱包和节点配置

Part02

四步入侵流程

当攻击者发现未安全配置的Docker API时,恶意软件将执行以下操作:

1. 通过启动恶意容器劫持主机

2. 在容器内安装masscan扫描工具和Docker工具包
3. 部署nginx和cloud组件用于传播与挖矿
4. 搜索其他存在漏洞的Docker API并重复感染循环

卡巴斯基警告称:"该恶意软件无需C2连接,只要存在可被利用的不安全Docker API,就能持续维持其攻击活动"

Part03

隐蔽持久化技术

nginx二进制文件在执行恶意例程时伪装成合法程序,甚至将其操作日志(包括受感染IP和容器状态)记录到/var/log/nginx.log文件中。

恶意软件还会在受感染容器内创建并监控version.dat文件,既避免重复感染又确保持久化。若cloud挖矿进程停止,nginx会立即重启该进程,持续占用容器资源进行挖矿。

报告指出:"nginx样本会执行main.monitorCloudProcess函数...确保名为cloud的Dero挖矿程序持续运行"

Part04

大规模扫描感染机制

通过masscan工具,恶意软件会生成并扫描随机/16 IPv4子网,寻找暴露2375端口的Docker主机。发现目标后即执行类似命令:docker -H run -dt --name --restart always ubuntu:18.04 /bin/bash

随后在新容器中安装masscan、docker.io及自身组件,建立新的挖矿节点。卡巴斯基解释:"扫描器通过masscan -p 2375 -oL -- --max-rate 360命令寻找互联网上暴露的不安全Docker API..."

Part05

技术溯源与基础设施

Dero挖矿程序改编自开源项目DeroHE CLI,使用UPX加壳,并采用AES-CTR加密保护钱包和节点配置。解密后研究人员提取出钱包地址:

dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y及节点域名:d.windowsupdatesupport[.]link和h.wiNdowsupdatesupport[.]link

值得注意的是,该基础设施此前曾出现在Kubernetes加密劫持攻击中,表明威胁组织正在复用基础设施并进化攻击手法。

Part06

全球威胁态势

根据报告中引用的Shodan数据,截至2025年4月,全球至少有520个Docker API在2375端口公开暴露。报告警告:"这凸显了所述威胁的潜在破坏性后果,强调必须加强容器监控与保护措施"

卡巴斯基总结称:"虽然针对容器的攻击不如其他系统频繁,但其危险性毫不逊色。"

参考来源:

Docker Containers Under Attack: New Self-Replicating Dero Cryptominerhttps://securityonline.info/docker-containers-under-attack-new-self-replicating-dero-cryptominer/

推荐阅读

容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击

电台讨论容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击

容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击

原文始发于微信公众号(FreeBuf):容器“僵尸爆发”:Docker容器遭新型自复制Dero挖矿病毒攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日13:28:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击https://cn-sec.com/archives/4094914.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息