Cryptojacking-orm spredes mellem dårligt sikrede Docker-værter
Mange brugere af container-softwaren Docker har sikret serverne, den køres på, så dårligt, at de er eksponeret for alle på internettet uden nogen form for autentificering eller autorisation.
Dette kan gøre det muligt for uvedkommende at tage fuld kontrol over Docker Engine-softwaren på værten.
Sikkerhedsforskere i Unit 42-afdelingen i Palo Alto Networks fortæller nu, at de har opdaget en orm, som udnytter den fraværende sikkerhed til at igangsætte udvinding af kryptovalutaen monero på mere end 2.000 Docker-værter.
Disse er efter sigende mulige at finde via Shodan-tjenesten.
Filmorm
Ormen kaldes for Graboid, opkaldt efter en ormelignende skabning i film- og tv-serierne ‘Tremors’. Når ormen har inficeret en container, køres den 63 procent af tiden.
Udvindingsperioderne varer i 250 sekunder ad gangen.
Den indledende del af inficeringen er foregået ved, at en angriber har fået adgang til en usikker Docker Engine-installation for derefter at downloade og køre en ondsindet Docker-billedbehandling (pocosow/centos:7.6.1810, gakeaws/nginx eller gakeaws/mysql) fra Docker Hub.
Derefter har malwaren kontaktet en command and control-server for at downloade blandt andet instruktioner og en liste over andre sårbare værter.
Disse er blevet downloadet mere end 16.500 gange, før de for nylig blev fjernet fra Docker Hub af Docker-teamet.
Pudsig opførsel
Kryptovalutaudvindingen startes ikke umiddelbart efter inficeringen. I stedet startes og stoppes udvindingsprocessen helt vilkårligt på de andre værter, som Graboid har inficeret.
Det er ifølge Unit 42 uklart, hvad der er den egentlige hensigt med dette.
Unit 42 anser ikke Graboid-ormen som værende særlig sofistikeret, som den ser ud nu, men advarer om, at den kan downloade nye scriptfiler fra command and control-servere.
Disse kan give ormen nye egenskaber, som potentielt kan gøre den betydeligt mere skadelig.
I blogindlægget om Graboid kommer sikkerhedsforskerne med en del råd, som kan bidrage til at forhindre inficeringen. Det vigtigste er, at ingen Docker-dæmon er eksponeret mod internettet uden ordentlig autentificering.
Med standardindstillingerne er Docker Engine ikke eksponeret mod internettet.
Artiklen er fra digi.no.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
