Spinning YARN 2.0:矿工发现Docker新漏洞

阅读量46907

发布时间 : 2024-06-19 11:10:30

研究人员发现了一种针对公共Docker API 的 新恶意软件活动,旨在传播加密货币矿工和其他恶意软件。

Datadog专家在最近的一份 报告中表示 ,所使用的工具包括能够下载和执行其他恶意软件的远程访问工具,以及通过SSH分发恶意软件的实用程序。

对该活动的分析显示,该活动与之前名为 Spinning YARN 的活动有相似之处,该活动由Cado Security 识别,并针对配置错误的 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务进行加密劫持。

攻击首先搜索开放端口(端口号2375)的Docker服务器,包括几个阶段:侦察、提权和利用漏洞。

使用“vurl”脚本从攻击者控制的基础设施下载有效负载。该脚本包括另一个脚本“b.sh”,其中包含编码的二进制文件“vurl”。该文件又负责加载和运行名为“ar.sh”(或“i.sh”)的第三个脚本。

正如安全研究员 Matt Muir 所解释的,“b.sh”脚本解码并提取“/usr/bin/vurl”中的二进制文件,覆盖脚本的现有版本。 “该二进制文件与脚本版本的不同之处在于使用了硬编码控制域。”

“ar.sh”脚本执行多种操作,包括创建工作目录、安装工具来扫描互联网上是否存在易受攻击的主机、禁用防火墙以及加载下一阶段的有效负载(称为“chkstart”)。

Golang 二进制文件“vurl”的主要目的是配置主机以进行远程访问并加载其他工具,例如“m.tar”和“top”,后者是XMRig矿工。

Muir 解释说,在最初的 Spinning YARN 活动中,大部分 chkstart 功能都是通过脚本实现的。将此功能转移到 Go 代码可能表明试图使分析过程复杂化,因为编译代码的静态分析比脚本分析复杂得多。

另外两个有效负载与“chkstart”一起加载:“exeremo”用于移动到其他主机并传播感染,“fkoths”是 Go 中的 ELF 二进制文件,用于隐藏恶意活动痕迹并防止分析。

“Exeremo”还旨在安装各种扫描工具,例如 pnscan、masscan 和自定义 Docker 扫描器(“sd/httpd”)来检测易受攻击的系统。

Muir 指出,Spinning YARN 活动的这次更新表明他们愿意继续攻击配置错误的 Docker 主机以进行初始访问。攻击者通过转向 Go 代码继续改进其有效负载,这可能表明他们试图使分析过程复杂化或尝试多架构构建。

本文转载自:

如若转载,请注明出处: https://www.securitylab.ru/news/549305.php

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66