30 個 Docker 鏡像在加密劫持攻擊中被下載 2000 萬次

Palo Alto Network研究人員Aviv Sasson發現了30個惡意Docker映像，這些映像被下載了2000萬次，涉及加密劫持操作。

專家通過檢查挖礦池來確定挖出到挖礦池帳戶中的加密貨幣的數量。專家發現的圖像中有一半是在一個共享的采礦池中使用的，據他估計，威脅行為者在兩年內開采了價值200,000美元的加密貨幣。

“最簡單的方法之一是加密劫持-非法使用他人的計算資源來開采加密貨幣。容器映像是一種分發軟件的簡單方法，而惡意的加密劫持映像也是攻擊者分發其加密礦工的一種簡單方法。” 閱讀由Palo Alto Network發表的帖子。*

“我決定深入研究Docker Hub，發現了30個惡意映像，總共提取了2000萬次請求（這意味著這些映像被下載了2000萬次），加起來價值20萬美元的加密劫持操作。”*

Docker Hub 是世界上最大的。圖書館和社區的容器圖像。它包括來自軟件供應商，開源項目和社區的100,000多個容器映像。

在大多數攻擊中，威脅行為者開采了Monero加密貨幣（90,3％），但Sasson和他的團隊也發現了針對采礦Grin（GRIN）（6.5％）或ARO（Aronium）（3.2％）加密貨幣的運動。

在開采Monero的大多數攻擊中，威脅參與者使用XMRig礦工，但攻擊者還濫用了Hildegard和Graboid礦工。

“在開采Monero的大多數攻擊中，攻擊者都使用XMRig，就像我們在 Hildegard 和 Graboid 中所看到的那樣 。XMRig是一個受歡迎的Monero礦工，受到攻擊者的青睞，因為它易于使用，高效且最重要的是開源。因此，攻擊者可以修改其代碼。” 繼續報告。

“例如，大多數Monero加密礦工都將其采礦時間的一定百分比捐贈給了礦工的開發人員。攻擊者的一種常見修改是將捐贈百分比更改為0。”

研究人員指出，容器注冊表允許用戶升級其圖像，也可以將新標簽上載到注冊表。標簽用于引用同一圖像的不同版本。

研究人員注意到，某些圖像針對不同的CPU體系結構或操作系統具有不同的標簽，從而使攻擊者可以為受害者的硬件選擇最佳的加密礦工。

所有標簽都具有共同的錢包地址或采礦池憑據，它們的分析使專家可以將某些惡意帳戶與過去的密碼劫持攻擊相關聯。

“云為加密劫持攻擊提供了巨大的機會。在我的研究中，我使用了一種加密采礦掃描儀，該掃描儀僅檢測簡單的加密采礦有效載荷。我還通過將錢包地址與以前的攻擊相關聯來確保任何識別出的圖像都是惡意的。即使使用這些簡單的工具，我也可以通過數百萬次的拉伸來發現數十個圖像。” 專家總結。“我懷疑這種現象可能比我發現的現象更大，在許多情況下，有效載荷不易檢測到。”*

Palo Alto的研究人員提供了這些攻擊的危害指標（IoC）以及他們發現的惡意Docker映像的列表。