Graboid
Cryptojacking-Wurm verbreitet sich über Container in der Docker Engine
Erster Cryptojacking-Wurm in Images auf dem Docker Hub entdeckt
Unit 42, das Malware-Forschungsteam von Palo Alto Networks, hat einen neuen Cryptojacking-Wurm entdeckt, der auf mehr als 2.000 ungesicherten Docker-Hosts verbreitet ist. Die Security-Forscher haben den Wurm „Graboid“ benannt, in Anspielung auf den Spielfilm „Tremors – Im Land der Raketenwürmer“. Es gab bereits Vorfälle im Zusammenhang mit der Verbreitung von Cryptojacking-Malware als Wurm. Dies ist jedoch ist das erste Mal, dass sich ein Cryptojacking-Wurm über Container in der Docker Engine (Community Edition) verbreitet!
Die meisten herkömmlichen Endpunktschutz-Softwareprodukte überprüfen keine Daten und Aktivitäten innerhalb von Containern. Diese Art von bösartigen Aktivitäten könnte daher schwer zu erkennen sein, warnt Palo Alto Networks. Der bösartige Akteur hat durch ungesicherte Docker-Daemons, bei denen zuerst ein Docker-Image installiert wurde, das auf dem kompromittierten Host ausgeführt wird, erstmals Fuß gefasst. Die Malware, die von Command-and-Control-Servern (C2) heruntergeladen wurde, ist für das Monero-Mining vorgesehen und stellt regelmäßig Anfragen nach neuen verwundbaren Hosts. Sie wählt dann zufällig das nächste Ziel aus, um den Wurm zu verbreiten.
Die Analyse von Unit 42 zeigt, dass im Durchschnitt jeder Miner 63 Prozent der Zeit aktiv ist und jede Mining-Dauer 250 Sekunden beträgt. Das Docker-Team kooperierte schnell mit Unit 42, um die bösartigen Images zu entfernen, nachdem die Forscher sie über diesen Vorgang informiert hatten.
Dieser Cryptojacking-Wurm weist keine besonders ausgeklügelten Taktiken, Techniken oder Verfahren auf. Er kann sich jedoch regelmäßig neue Skripte aus den C2s ziehen, sodass er sich leicht in Ransomware oder Malware verwandeln kann, um die Hosts auf der ganzen Linie vollständig zu kompromittieren. Diese Bedrohung sollte daher nicht ignoriert werden. Würde ein effektiverer Wurm erstellt werden, der einen ähnlichen Infiltrationsansatz verfolgt, könnte er noch viel größeren Schaden anrichten. Deswegen ist es für Unternehmen unerlässlich, ihre Docker-Hosts zu schützen.
Nachfolgend hat Palo Alto Networks eine Liste von Maßnahmen zusammengestellt, die Unternehmen helfen sollen, Kompromittierungen zu vermeiden:
- Setzen Sie einen Docker-Daemon niemals ohne einen geeigneten Authentifizierungsmechanismus dem Internet aus. Beachten Sie, dass die Docker Engine (CE) standardmäßig nicht dem Internet ausgesetzt ist.
- Nutzen Sie Unix-Socket, um mit dem Docker-Daemon lokal zu kommunizieren, oder SSH, um sich mit einem entfernten Docker-Daemon zu verbinden.
- Verwenden Sie Firewall-Regeln, um den eingehenden Datenverkehr auf eine Whitelist für eine kleine Anzahl von Quellen zu setzen.
- Ziehen Sie niemals Docker-Images aus unbekannten Registrierungsstellen oder unbekannten Benutzernamensräumen.
- Überprüfen Sie ihr System regelmäßig auf unbekannte Container oder Images.
- Cloud-Sicherheitslösungen wie Prisma Cloud oder Twistlock können bösartige Container identifizieren und Cryptojacking-Aktivitäten verhindern.
Palo Alto Networks hat diese Ergebnisse, einschließlich Datei-Samples und Kompromittierungs-Indikatoren, an die Kollegen der Cyber Threat Alliance weitergegeben. CTA-Mitglieder nutzen diese Informationen, um ihren Kunden schnell Schutzmaßnahmen anzubieten und böswillige Cyberakteure systematisch zu stoppen.
Weitere Informationen über den Wurm finden Sie unter https://unit42.paloaltonetworks.com/graboid-first-ever-cryptojacking-worm-found-in-images-on-docker-hub/
