Graboid: un worm di crittografia che si diffonde attraverso i contenitori Docker
Per la prima volta nella storia, i ricercatori hanno scoperto un worm criptojacking!
I Security Investigators dell’Unità 42 di Palo Alto Network Inc. hanno fatto la scoperta di questo worm di crittografia che si propaga utilizzando i contenitori software Docker. Questo worm di crittografia sfrutta la soluzione PaaS (Platform as a service) utilizzata dagli sviluppatori di software per testare e distribuire applicazioni su piattaforme Windows e Linux.
Poiché i contenitori Docker consentono alle applicazioni di essere eseguite in un ambiente virtuale separato da altre applicazioni Windows, ciò consente agli sviluppatori di eseguire applicazioni in condivisione del sistema.
Soprannominato “Graboid”, il worm si è diffuso in oltre 2000 host Docker non garantiti e utilizza gli host infetti per estrarre la criptovaluta “Monero”.
Monero è la criptovaluta preferita degli hacker perché è anonima ed estremamente difficile da monitorare. Al contrario, il bitcoin può essere rintracciato attraverso un libro pubblico.
I ricercatori hanno trovato diverse immagini di contenitori associati all’attacco in diverse fasi della catena di infezione. Questi container sono stati rimossi dal supporto Docker Hub dopo essere stati avvisati dai ricercatori.
Una delle immagini container che eseguivano CentOS stava cercando di connettersi a server di comando e controllo predefiniti (C2) per scaricare ed eseguire 4 script di shell.
Coloro che stanno dietro Graboid identificano i motori Docker non sicuri per avviare il processo di infezione. Una volta identificato il punto di ingresso, il worm entra in azione per iniziare il suo percorso.
Scaricando alcuni script da un server di comando e controllo, il worm è essenzialmente autosufficiente, inizia a crittografare nell’host Docker infetto durante la ricerca di nuove vittime. Graboid inizia selezionando casualmente 3 potenziali bersagli per l’infezione, installando il worm sul primo bersaglio e fermando il minatore sul secondo bersaglio, iniziando a minare sul terzo bersaglio.
“Questa procedura porta a un comportamento di estrazione molto casuale”, hanno spiegato oggi i ricercatori. “Se il mio host è compromesso, il contenitore dannoso non si avvia immediatamente. Invece, devo aspettare che un altro host compromesso scelga me e inizi il mio processo di mining … In sostanza, il minatore su ogni host infetto è controllato casualmente da tutti gli altri host infetti.”
In media, ogni minatore è stato attivo il 63% delle volte e ogni periodo di mining è durato 250 secondi, rendendo difficile il rilevamento dell’attività, poiché la maggior parte dei software di protezione non controllano i dati e le attività all’interno dei contenitori.
I ricercatori dell’Unità 42 hanno lavorato con il team Docker per rimuovere le immagini dannose dal contenitore, ma il rischio di future infezioni da varianti che utilizzano tecniche simili è reale.
“Se un worm più potente verrà mai creato per adottare un approccio di infiltrazione simile, potrebbe causare danni molto maggiori, quindi è indispensabile che le organizzazioni proteggano i loro host Docker”, hanno avvertito i ricercatori.
Nel post sul blog su Graboid, i ricercatori della sicurezza offrono alcuni suggerimenti che possono aiutare a prevenire l’infezione. Al loro interno, i ricercatori di Palo Alto consigliano alle aziende di non esporre mai i loro demoni Docker direttamente a Internet senza una corretta autenticazione.
In effetti, Docker Engine non è esposto a Internet per impostazione predefinita, quindi le implementazioni non sicure sfruttate da questo worm sono state configurate manualmente per essere disponibili pubblicamente.
Un altro consiglio che i ricercatori danno è che le aziende utilizzino SSH con autenticazione avanzata se devono connettersi in remoto a un demone Docker e combinarlo con regole firewall che limitano le connessioni a un elenco di indirizzi IP affidabili.
Inoltre, raccomandano agli amministratori di assicurarsi di non distribuire mai immagini di contenitori Docker da fonti inaffidabili nell’hub Docker e di controllare frequentemente le implementazioni Docker per eliminare contenitori o immagini sconosciute.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.