在DockerHub中发现30个恶意镜像,下载量超过2000万美元。在过去的几年里,Unit42的研究人员看到了基于云的加密货币挖掘活动,其中矿工是从DockerHub中的图像部署的。云平台被用于加密货币挖矿攻击的原因如下:云平台包含攻击目标实例,如CPU、容器、虚拟机等,每个用于挖矿的实例都可以带来巨大的收益。云平台难以监控。矿工可以长时间运行而不被发现,没有任何检测机制,用户可能只有在支付云服务使用费时才发现有问题。目前的云技术主要是基于容器的,DockerHub是默认的容器注册中心。因此,攻击者利用DockerHub在受感染的云上部署矿工。研究人员分析了DockerHub上的恶意挖矿镜像,发现了来自10个不同DockerHub账户的30个镜像文件,总次数超过2000万次。预计挖矿收入将超过20万美元。DockerHub中加密货币挖矿镜像中的加密货币分布如下:Monero占比90.3%,Grin占比6.5%,Arionum占比3.2%。Monero是部署最广泛的加密货币矿工,并且由于多种原因而受到攻击者的青睐:Monero提供最大的匿名性。Monero中的交易是隐藏的,Monero的匿名性和隐私性允许攻击者隐藏他们的非法活动。因此,很难追踪其资金流向。Monero挖矿算法倾向于支持CPU挖矿。与其他需要ASIC或GPU进行挖掘的加密货币挖掘算法不同,Monero挖掘算法有利于CPU挖掘。而且所有的电脑都有CPU,所以矿工可以部署在任何机器上运行。门罗币是一种主流的加密数字货币。它的交易量已经达到每天1亿美元,所以攻击者挖出的门罗币可以很快卖出去。攻击者在门罗币挖矿攻击中使用了最多的XMRig。因为XMRig非常高效、易于使用且开源。因此攻击者可以修改其代码。研究发现90%的攻击使用了XMRig,剩下的10%使用了Xmr-stack。容器注册商允许用户升级他们的镜像,并在此过程中将新标签上传到注册商。标签是一种标记同一图像的不同版本的方法。在分析图片的标签时,研究人员发现一些图片针对不同的CPU架构或操作系统有不同的标签。攻击者的目的可能是适应不同操作系统和CPU架构的可能受害者。在一些图像中,研究人员还发现了不同类型的加密货币矿机的标签。这样,攻击者就可以为受害者的硬件选择最好的加密货币矿机。在这些镜像中,研究人员发现同一镜像中的钱包地址和矿池凭证是相同的。在这些ID的帮助下,研究人员设法对每个活动进行了分类。研究人员进一步分析还发现,大量的DockerHub账户属于同一个攻击活动。例如021982、dockerxmrig、ggcloud1、ggcloud2等账号。研究人员分析发现,DockerHub中存在用于加密货币挖矿攻击的恶意镜像文件,总下载量超过2000万次。其中,以门罗币挖矿为主,加密货币挖矿活动的利润保守估计为20万美元。本文翻译自:https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/
