Unit 42科学研究员工在Docker Hub中 发现了30个故意镜像,总注册量超出2000千次,保守估计加密货币挖矿主题活动盈利20万美金。
以往两年里,Unit 42科学研究工作人员发现有根据云的加密货币挖矿进攻主题活动,在其中挖矿根据Docker Hub中的镜像开展布署。
云服务平台被用以加密货币挖矿进攻的缘故有:
- 云服务平台中包括有进攻方向的案例,例如CPU、器皿、vm虚拟机等,每一个案例被用于挖矿都能够产生较大的盈利。
- 云服务平台难以监管。挖矿可以长久运作而不被发现,并且没有检验体制,客户只要在付款云服务器应用信用卡账单时才有可能会发现存在的问题。
- 现阶段的云计算技术主要是根据器皿的,而Docker Hub是初始的器皿申请注册商。因而,攻击者运用Docker Hub来在被侵入的云空间布署挖矿。
科学研究员工对Docker Hub上的故意挖矿镜像开展剖析,发现了源自10个不一样Docker Hub帐户的30个镜像文档,总计下一次频次高于2000千次。预估挖矿盈利超出20万美金。
Docker Hub中加密货币挖矿镜像中的加密货币遍布如下所示所显示:
在其中门罗币占有率90.3%,Grin占比6.5%,Arionum占有率3.2%。
门罗币是布署较多的加密货币挖矿机,攻击者优选门罗币的缘故有:
- 门罗币给予了最高的匿名性。门罗币的买卖是隱藏的,门罗币的密名和私密性促使攻击者的违法活动被掩藏。因而,很难追踪其资产的流入。
- ·门罗币挖矿优化算法趋向于CPU挖矿。与别的加密货币挖矿优化算法必须ASIC或GPU开展挖矿不一样的是,门罗币挖矿优化算法趋向于CPU挖矿。而全部的电子计算机都是有CPU,因而挖矿可以在任何一台设备上布署和运作。
- 门罗币是一款流行的数据加密虚拟货币。其成交量现已做到每日1亿美金,因而攻击者挖矿所得的的门罗币可以迅速下手。
在开展门罗币挖矿的进攻主题活动中,攻击者应用较多的XMRig。因为XMRig十分效率高、且非常容易应用、并且是开放源码的。因而攻击者可以改动其编码。
科学研究发现有90%的进攻主题活动中应用XMRig,剩下10%应用Xmr-stack。
器皿申请注册商容许客户更新其镜像,并在一环节中提交一个新的标识tag到申请注册商处。Tag是一种对同一镜像的不一样版本号开展标识的方式。科学研究员工在剖析镜像的tag时发现,一些镜像对不一样的CPU构架或电脑操作系统有不一样的tag。攻击者那样做的目地可能是兼容不一样电脑操作系统和CPU构架的也许的受害人。
在一部分镜像中,科学研究工作人员还发现有不一样种类加密货币挖矿机的tag。那样,攻击者就可以对于受害人的硬件配置来挑选最佳的加密货币挖矿机。
在这种镜像中科学研究工作人员发现同一个镜像中的钱夹详细地址和挖矿软件凭据是一致的。在这种id的幫助下,科学研究工作人员取得成功地对每一个进攻主题活动完成了归类。科学研究工作人员进一步剖析还发现有大批量的Docker Hub帐户是归属于同一进攻主题活动的。例如,021982、dockerxmrig、ggcloud1 和 ggcloud2等帐户。
科学研究工作人员剖析发现Docker Hub中存有用以加密货币挖矿进攻主题活动的故意镜像文档,总免费下载超出2000千次。在其中关键开展门罗币挖矿,保守估计加密货币挖矿主题活动盈利20万美金。
文中翻譯自:https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/