研究人员发现了一种针对公共Docker API 的 新恶意软件活动,旨在传播加密货币矿工和其他恶意软件。
Datadog专家在最近的一份 报告中表示 ,所使用的工具包括能够下载和执行其他恶意软件的远程访问工具,以及通过SSH分发恶意软件的实用程序。
对该活动的分析显示,该活动与之前名为 Spinning YARN 的活动有相似之处,该活动由Cado Security 识别,并针对配置错误的 Apache Hadoop YARN、Docker、Atlassian Confluence 和 Redis 服务进行加密劫持。
攻击首先搜索开放端口(端口号2375)的Docker服务器,包括几个阶段:侦察、提权和利用漏洞。
使用“vurl”脚本从攻击者控制的基础设施下载有效负载。该脚本包括另一个脚本“b.sh”,其中包含编码的二进制文件“vurl”。该文件又负责加载和运行名为“ar.sh”(或“i.sh”)的第三个脚本。
正如安全研究员 Matt Muir 所解释的,“b.sh”脚本解码并提取“/usr/bin/vurl”中的二进制文件,覆盖脚本的现有版本。 “该二进制文件与脚本版本的不同之处在于使用了硬编码控制域。”
“ar.sh”脚本执行多种操作,包括创建工作目录、安装工具来扫描互联网上是否存在易受攻击的主机、禁用防火墙以及加载下一阶段的有效负载(称为“chkstart”)。
Golang 二进制文件“vurl”的主要目的是配置主机以进行远程访问并加载其他工具,例如“m.tar”和“top”,后者是XMRig矿工。
Muir 解释说,在最初的 Spinning YARN 活动中,大部分 chkstart 功能都是通过脚本实现的。将此功能转移到 Go 代码可能表明试图使分析过程复杂化,因为编译代码的静态分析比脚本分析复杂得多。
另外两个有效负载与“chkstart”一起加载:“exeremo”用于移动到其他主机并传播感染,“fkoths”是 Go 中的 ELF 二进制文件,用于隐藏恶意活动痕迹并防止分析。
“Exeremo”还旨在安装各种扫描工具,例如 pnscan、masscan 和自定义 Docker 扫描器(“sd/httpd”)来检测易受攻击的系统。
Muir 指出,Spinning YARN 活动的这次更新表明他们愿意继续攻击配置错误的 Docker 主机以进行初始访问。攻击者通过转向 Go 代码继续改进其有效负载,这可能表明他们试图使分析过程复杂化或尝试多架构构建。
发表评论
您还未登录,请先登录。
登录