Đây là cách Docker container có thể được dùng để khai thác tiền điện tử

Các container đang ngày càng trở thành mục tiêu của các vụ tấn công cryptojacking.

Các nhà nghiên cứu đã trình bày chi tiết cách thức khiến các Docker container đang trở thành mục tiêu chính cho các cryptojacker tại thời điểm khi khai thác tiền điện tử bất hợp pháp đang trở thành một cách thức kiếm tiền.

Tội phạm mạng đang quay lưng lại với việc triển khai phần mềm ransomware bằng các phần mềm có lợi cho phần mềm độc hại tiền điện tử.

Được biết đến như là cryptojacking, các phiên bản phần mềm độc hại này sẽ cướp bóc các CPU của các máy bị lây nhiễm nhằm lấy cắp các năng lượng tính toán để khai thác các đồng tiền ảo như Ethereum (ETH) và Monero (XMR), trong đó các tiền điện tử này được gửi tới các ví kẻ tấn công.

Vấn đề đang trở nên phổ biến hơn. Trong thời gian gần đây, các án tù đã được phát hành cho các nhà khai thác mật mã, các trường đại học đã đóng cửa các mạng để ngừng hoạt động khai thác tiền điện tử, các router đã trở thành nô lệ cho các mục đích mã hóa, và một trong ba tổ chức đã báo cáo các cuộc tấn công.

Docker container là các đơn vị tiêu chuẩn của phần mềm đóng gói mã và tất cả các phụ thuộc liên quan đến chúng để tăng tốc độ của các ứng dụng di chuyển từ môi trường máy tính này sang môi trường máy tính khác.

Những công cụ nhẹ này có thể là các công cụ hữu ích trong vòng đời triển khai phát triển ứng dụng và theo Docker, hơn 3,5 triệu ứng dụng đã được đặt trong các thùng chứa bằng cách sử dụng công nghệ đó.

Tuy nhiên, trong khi Docker tăng phổ biến với các chuyên gia CNTT, tội phạm mạng cũng đang khám phá cách công nghệ container có thể được khai thác cho mục đích riêng của họ.

Các nhà nghiên cứu từ Threat Stack chia sẻ cái nhìn sâu sắc với ZDNet về cách các cuộc tấn công mã hóa hiện đang diễn ra đối với các thùng chứa được sử dụng bởi doanh nghiệp.

Giai đoạn đầu tiên của cuộc tấn công là xác định các hệ thống mặt trước và các trang web dễ bị tấn công từ xa. Một lệnh được gửi qua lớp ứng dụng – thường bằng cách thao tác một trường văn bản trên một miền hoặc thông qua API được hiển thị trong URL trang web – hoặc bằng cách “dò tìm bảng điều khiển vỏ nhúng thường thấy trên các trang web tham chiếu mã”, theo các nhà nghiên cứu.

Mã được tiêm sau đó lọc xuống hệ điều hành back-end và cuối cùng tìm đường đến môi trường vùng chứa.

Giai đoạn thứ hai của các cuộc tấn công như vậy bắt đầu khi container được tách ra. Trong các cuộc tấn công gần đây được phát hiện, mã được thực hiện và các lệnh được gửi trực tiếp đến trình bao trong vùng chứa Docker.

“Trong khi giới hạn tầm nhìn giảm của container của hệ điều hành máy chủ, kẻ tấn công có thể tự ý chạy mã không tin cậy,” Threat Stack nói.

Trong giai đoạn ba, một phần mềm độc hại cryptomining được tải xuống thông qua một lệnh wget. Trong các cuộc tấn công đã được quan sát cho đến nay, CNRig đã được sử dụng để lây nhiễm cho máy móc.

Tải trọng sử dụng thuật toán CryptoNight, được viết bằng C ++ và tương thích với các CPU Linux. Dựa trên giàn khoan XMRig Monero, CNRig cũng có khả năng cập nhật tự động.

Threat Stack nói rằng tốc độ của giai đoạn này cho thấy rằng các kịch bản lệnh tự động được thực hiện để tải trọng, sau đó là thay đổi quyền trên tệp thực thi CNRig để đảm bảo nó hoạt động mà không cần xác thực thêm.

Tải trọng cryptojacking chạy ra khỏi thư mục / tmp.

CNRig sau đó sẽ cố gắng thiết lập ba kết nối; hai để tạo ra một con đường an toàn giữa máy bị nhiễm và hồ bơi khai thác của kẻ tấn công, và một trong một CDN. Tuy nhiên, trong các trường hợp hiện đang được ghi lại, những nỗ lực này không phải lúc nào cũng thành công do bảo vệ lớp mạng và tường lửa.

Threat Stack nói với ZDNet rằng công ty đã phát hiện “số lượng kẻ tấn công ngày càng tăng nhắm mục tiêu đến các công cụ dàn xếp container như Docker và hy vọng sẽ thấy xu hướng này tiếp tục khi nhiều tổ chức triển khai container hơn.”

Các vector tấn công là một trong những thú vị và không rõ ràng ngay lập tức trong kết nối với cryptojacking. Tuy nhiên, khi tiền phải được thực hiện, những kẻ tấn công thường chứng minh bản thân họ một cách hiệu quả và sáng tạo.

Để bảo vệ mình khỏi những mối đe dọa như vậy, công ty nói rằng người chơi doanh nghiệp nên đảm bảo rằng các tệp cơ bản không thể ghi được từ các thùng chứa; giới hạn mềm và cứng được đặt trên mức tiêu thụ CPU và cảnh báo phải được bật khi các trình tương tác được khởi chạy.

Nguồn bài viết : https://www.zdnet.com