PaloAltoNetwork安全研究员AvivSasson发现了30个植入挖矿木马的Docker镜像,这些镜像总计被下载了2000万次。安全专家检查了矿池以确定所开采账户持有的加密货币总量。AvivSasson发现攻击者持有的最大矿池在两年内开采了价值200,000美元的加密货币。在容器镜像中植入挖矿木马是一种利用他人计算机资源帮助攻击者挖矿的快捷方式。经过对DockerHub的深入调查,安全专家发现了30个恶意镜像,总共被拉取了2000万次,攻击者获利超过20万美元。DockerHub是全球最大的容器镜像托管社区,拥有超过100,000个来自软件供应商和开源项目的容器镜像。在大多数镜像中,攻击者挖掘门罗币(90.3%),但也挖掘其他加密货币,例如GRIN(6.5%)、ARO(3.2%)。在挖门罗币时,攻击者主要使用XMRig挖矿,还有少量的Hildegard和Graboid。PaloAltoNetwork在报告中表示:“XMRig确实很流行,非常好用、高效且开源。攻击者可以自己修改代码,所以攻击者非常喜欢使用XMRig。”“正常情况下,很多矿工会把部分算力捐给开发者,而攻击者往往会把捐献比例改成0。”研究人员注意到,一些镜像针对不同架构的CPU或操作系统有不同的标签,攻击者可以根据受害者的硬件选择最适合的矿机进行加密货币挖矿。这些矿工都有相同的钱包地址,安全专家发现这些恶意账户此前也曾与密码盗窃事件有关。云的无处不在为劫持提供了巨大的机会,安全专家开发了一种加密货币挖掘扫描工具,可以识别工具有效载荷和钱包地址。即使使用简单的工具,也可以在数百万张图片中找到数十张恶意图片。安全研究人员认为,这个问题可能比想象中更严重,并且存在许多不容易检测到的挖矿工具负载。Docker镜像021982/155_138021982/66_42_53_57021982/66_42_93_164021982/xmrig021982/xmrig1021982/xmrig2021982/xmrig3021982/xmrig4021982/xmrig5021982/xmrig6021982/xmrig7avfinder/gmdravfinder/mdadmddocheck/axdocheck/healthdockerxmrig/proxy1dockerxmrig/proxy2ggcloud1/ggcloudggcloud2/ggcloudkblockdkblockd/kblockdosekugatty/picture124osekugatty/picture128tempsbro/tempsbrotempsbro/tempsbro1toradmanfrom/toradmanfromtoradmanfrom/toradmanfrom1xmrigdocker/docker2xmrigdocker/docker3xmrigdocker/xmrigxmrigdocker/xmrigzenidine/nizadam参考来源:paloaltnetworks(https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/)wordpress/116111/cyber-crime/docker-cryptojacking-attacks.html)
