卡巴斯基实验室发现一起新型恶意软件攻击活动,该攻击将暴露的Docker容器转化为可自我复制的Dero加密货币挖矿机,且无需依赖命令控制服务器(C2)即可运行。
报告开篇描述:"想象一场容器僵尸爆发——单个受感染容器会扫描互联网寻找暴露的Docker API...入侵正在运行的容器,将其转化为新的'僵尸'来挖掘Dero币,并继续'咬噬'新受害者"
Part01
恶意软件双重攻击组件
卡巴斯基在入侵评估中发现,该攻击包含两个用Go语言编写的核心组件:
-
nginx:伪装成知名Web服务器的传播蠕虫
-
cloud:定制化Dero挖矿程序,内含加密硬编码的钱包和节点配置
四步入侵流程
当攻击者发现未安全配置的Docker API时,恶意软件将执行以下操作:
1. 通过启动恶意容器劫持主机
卡巴斯基警告称:"该恶意软件无需C2连接,只要存在可被利用的不安全Docker API,就能持续维持其攻击活动"
隐蔽持久化技术
nginx二进制文件在执行恶意例程时伪装成合法程序,甚至将其操作日志(包括受感染IP和容器状态)记录到/var/log/nginx.log文件中。
恶意软件还会在受感染容器内创建并监控version.dat文件,既避免重复感染又确保持久化。若cloud挖矿进程停止,nginx会立即重启该进程,持续占用容器资源进行挖矿。
报告指出:"nginx样本会执行main.monitorCloudProcess函数...确保名为cloud的Dero挖矿程序持续运行"
大规模扫描感染机制
通过masscan工具,恶意软件会生成并扫描随机/16 IPv4子网,寻找暴露2375端口的Docker主机。发现目标后即执行类似命令:docker -H run -dt --name --restart always ubuntu:18.04 /bin/bash
随后在新容器中安装masscan、docker.io及自身组件,建立新的挖矿节点。卡巴斯基解释:"扫描器通过masscan -p 2375 -oL -- --max-rate 360命令寻找互联网上暴露的不安全Docker API..."
技术溯源与基础设施
Dero挖矿程序改编自开源项目DeroHE CLI,使用UPX加壳,并采用AES-CTR加密保护钱包和节点配置。解密后研究人员提取出钱包地址:
dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y及节点域名:d.windowsupdatesupport[.]link和h.wiNdowsupdatesupport[.]link
值得注意的是,该基础设施此前曾出现在Kubernetes加密劫持攻击中,表明威胁组织正在复用基础设施并进化攻击手法。
全球威胁态势
根据报告中引用的Shodan数据,截至2025年4月,全球至少有520个Docker API在2375端口公开暴露。报告警告:"这凸显了所述威胁的潜在破坏性后果,强调必须加强容器监控与保护措施"
卡巴斯基总结称:"虽然针对容器的攻击不如其他系统频繁,但其危险性毫不逊色。"
参考来源:
Docker Containers Under Attack: New Self-Replicating Dero Cryptominerhttps://securityonline.info/docker-containers-under-attack-new-self-replicating-dero-cryptominer/
推荐阅读
电台讨论![容器僵尸爆发:Docker容器遭新型自复制Dero挖矿病毒攻击]( "容器“僵尸爆发”:Docker容器遭新型自复制Dero挖矿病毒攻击")
原文始发于微信公众号(FreeBuf):容器“僵尸爆发”:Docker容器遭新型自复制Dero挖矿病毒攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论