压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

DockerHub再現百萬下載量黑產鏡像,小心你的容器被挖礦

責編:gltian |2021-09-14 10:38:53

前言

近年來云原生容器的應用越來越流行,統計數據顯示高達47%生產環境容器鏡像會來源于公用倉庫[1],Docker Hub作為全球最大的公共容器鏡像倉庫,已然成為整個云原生應用的軟件供應鏈安全重要一環,其鏡像的安全風險問題對生態影響尤為重要。騰訊安全云鼎實驗室針對云原生容器安全進行了長期研究投入,對Docker Hub的鏡像安全風險建立了長期監控和安全態勢分析。近期監測到一個較大的挖礦黑產團伙anandgovards(挖礦賬戶中包含了這個郵箱賬號),利用Docker Hub上傳特制挖礦鏡像,通過蠕蟲病毒快速感染docker主機,進而下載相關鏡像進行挖礦。該黑產團伙從2020年6月開始使用3個Docker Hub賬戶制作了21個惡意鏡像,累計下載傳播量達到342萬,獲取了不低于313.5個門羅幣,獲利高達54萬多人民幣。

初探惡意鏡像

針對該黑產團伙anandgovards,我們通過對Docker Hub的安全監控和分析暫時發現3個相關賬戶,共涉及21個鏡像,其中最高的下載量達到百萬。通常黑產通過蠕蟲病毒感染docker主機,入侵成功后,再自動下拉這些黑產鏡像到本地運行進行挖礦獲利。

該黑產相關3個賬戶名為abtechbed、svagamx、srinivasram,其中srinivasram相關鏡像申請日期為2020年5月,abtechbed相關鏡像的申請日期為2020年6月到2020年12月,svagamx相關鏡像申請日期為2021年4月16日。挖礦賬戶活躍到2021年5月,挖礦活動持續時間長達一年。

abtechbed賬戶中的鏡像信息:

srinivasram賬戶中的鏡像信息:

svagamx賬戶中的鏡像信息:

下表提供了此Docker?Hub帳戶下部分鏡像下載量及錢包地址,鏡像最高下載量達到了157萬次

微信截圖_20210914104828

黑產團伙溯源分析

(1)黑產團伙來源:

在挖礦的賬戶配置中,我們發現兩個郵件賬戶信息,

anandgovards@gmail.com

visranpaul@outlook.com

包括Docker Hub賬戶名,abtechbed、svagamx、srinivasram字符和愛爾尼亞、冰島語系。我們有理由相信,這個黑產組織來自歐洲。

(2)黑產團伙關聯

云鼎實驗室通過安全大數據圖計算引擎,關聯分析了大約10萬個鏡像信息,關聯分析其中錢包ID、鏡像賬號、礦池等信息,發現abtechbed、svagamx,srinivasram使用了同一個挖礦錢包地址,表明這幾個鏡像賬戶屬于同一個黑產組織。

(3)黑產攻擊流程及盈利方式:

黑產通過蠕蟲病毒進行大規模感染docker主機,之后被感染的docker主機從Docker Hub下拉相關挖礦鏡像到本地運行,進行挖礦獲利。

相關流程圖如下:

相關門羅幣賬戶在2021年5月份依然活躍,累計收入最多的賬戶是

8Bchi3J8r4C1nSwB1wW4AFjkvr9FaQKpj2mMWxiDNgkTRBragUrY1Nv4NoYWrurX3B9zXYCS4wY59iqXTqvtKg6DKSQY4Tg,錢包收入232個門羅幣,價值約為405,025人民幣。

相關挖礦病毒的攻擊趨勢

惡意鏡像的下載量可以一定程度表示相關蠕蟲的攻擊趨勢,實驗室通過安全監測發現2020年下半年,針對docker容器的相關蠕蟲攻擊趨勢增長十分明顯,2020年5月份、12月份上傳的惡意鏡像下載量達到百萬,但2021年4月份新上傳的惡意鏡像下載量卻有限,表明4月份到現在,相關蠕蟲病毒的攻擊范圍和影響范圍正在縮小。

總結

隨著容器應用發展加速,頻繁爆出容器相關的安全事件,黑產團伙通過容器服務器的漏洞傳播的蠕蟲病毒,通過下拉挖礦鏡像進行獲利,已然是現階段容器相關黑產的主流手段。除了下載挖礦鏡像以外,現有的模式可以輕松將挖礦鏡像替換成其他惡意軟件,造成更大的破壞。

當企業在享受云原生帶來的技術紅利時,也應該重視和建立起容器安全防護體系。以下是一些容器應用的安全建議:

  1. 避免使用Docker過程中將2375端口暴露公網;
  2. 公網中使用TLS的docker remote api;
  3. 不推薦下載和使用未知來源的鏡像;
  4. 經常檢查系統中是否存在異常未知鏡像或容器;
  5. 使用騰訊云容器安全解決方案可以識別惡意容器并阻止惡意挖礦等活動:
  6. https://cloud.tencent.com/product/tcss

騰訊云容器安全

騰訊安全持續在容器安全上進行投入和相關研究,構建了完整的容器安全防護和服務保障體系。

[1] https://dig.sysdig.com/c/pf-2021-container-security-and-usage-report?x=u_WFRi&utm_source=gated-organic&utm_medium=website

來源:安全客

上一篇:Ragnar Locker威脅稱:誰敢報警我就發布泄露數據

下一篇:REvil勒索軟件“重出江湖”,已有公司中招