Kinsing, il malware che prende di mira Docker (e mina Bitcoin)
La segnalazione arriva dai ricercatori di Aqua Security, specializzata in sicurezza su piattaforme cloud, che per mesi hanno seguito degli attacchi e monitorato migliaia di tentativi di infezione.
In questo caso le vittime sono state delle porte API aperte e mal configurate su Docker, utilizzate per eseguire un container Ubuntu su cui è installato malware, Kinsing, che a sua volta distribuisce un miner di criptovalute in questi container compromessi.
Kinsing è basato su Linux e scritto in Golang e una volta entrato in esecuzione, cerca di replicarsi in altri container ed host, collegandosi a diversi IP – tutti localizzati in Europa dell’Est – scaricando poi da ognuno le varie componenti necessarie per funzionare: comunicazione con i server C&C, lo script iniziale per la configurazione dell’ambiente ed il download del crypto-miner.
Il miner che utilizza Kinsing è pensato per minare Bitcoin e per attivarsi si collega in HTTP ad un host per ricevere ulteriori istruzioni ed iniziare le operazioni.
Lo script è stato progettato per disabilitare eventuali misure di sicurezza e cancellare i log, nonché rimuovere malware e crypto-miner concorrenti “uccidendo” i loro processi, eliminando i file associati e terminando qualsiasi contenitore Docker “dannoso”, fino a rimuoverne le immagini.
Ciliegina sulla torta, Kinsing riesce ad essere persistente aggiungendosi al crontab e verificando che non ci siano comandi “di troppo”, incluso il proprio.
Insomma, c’è poco da stare allegri. Abbiamo spesso parlato di DevSecOps, molte volte ridendoci sopra e pensando che ormai chi si occupa di sistemi deve essere non solo un sistemista, ma che uno sviluppatore e… Un esperto di sicurezza. Non è un caso che la diffusione di queste soluzioni cloud e container non vada di pari passo con il know-how in termini di tuning e sicurezza.
Il rischio di generare gigantesche botnet è proprio dietro l’angolo.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.