在传统的软件开发中,程序员在一个计算环境中编写应用程序,然后将其部署到一个类似但通常略有不同的环境中。这将导致只有在部署软件时才会出现错误或错误——恰恰是在您最不需要它们的时候。为了解决这个问题,现代开发人员经常将他们的应用程序与所有的配置文件、库以及在云中托管的“容器”中运行所需的其他软件片段捆绑在一起。这种称为容器化的方法允许他们创建和部署整个计算环境,因此不会出现意外情况。
由于许多项目依赖于许多相同的依赖项,开发人员可以在预先配置的容器映像上构建项目,从而使项目有一个快速的开始,这些映像可以从在线映像库下载,比如码头工人中心.这些映像可以依次构建在其他映像之上,以此类推。例如,开发者建立一个WordPress的插件的内容管理系统可能基于他们的项目一个容器包含WordPress的形象,这容器可能构建在另一个之上的映像,其中包含一个web服务器和数据库,这可能是建立在一个容器图像为一个流行的操作系统,像Ubuntu。
容器图像提供了一种以牺牲透明度为代价分发软件的简单方法。
现在想象一下,如果一个恶意的参与者可以在一个流行的源图像中隐藏一个加密jacker,一个可能被使用和重复使用数千次的源图像。他们最终可能会得到大量免费为他们挖掘加密货币的系统。
Docker图像
Docker Hub是世界上最大的容器图像库和社区,因此是攻击者非常有吸引力的目标。幸运的是,篡改容器并不容易,Docker非常关注“可信交付”,这应该保证应用程序不受限制。但是,在容器图像中可以找到比应用程序更多的内容。
研究人员发现
近几年来,,单位42个人员已发现基于云的加密劫持攻击,其中矿工使用Docker Hub中的图像部署。容器化几乎总是在云环境中进行的,因为这有助于其在幕后的可伸缩性流行的web应用程序或服务通常依赖于大量相同的容器。这对加密劫持者来说有一些优势:
- 每个目标都有许多实例。
- 这很难监控,所以矿工们可能会在很长一段时间内潜行而不被发现。
研究人员发现了来自10个不同Docker Hub账户的30张图片,这些图片占了超过2000万次的“拉”(下载)。
最喜欢cryptocurrency
攻击者挖掘的最流行的加密货币是Monero。Monero是一种加密货币,旨在保护隐私,承诺:
“分散加密货币的所有好处,没有任何典型的隐私特权”。
没有一种加密货币像许多人认为的那样是匿名的,但加密货币劫持者青睐Monero还有其他原因:
- 许多加密挖掘算法在上面运行得更好ASICs或GPU,但Monero挖掘算法在cpu上运行得更好,这与密码窃取者在容器化环境中期望找到的内容相匹配。
- 除比特币外,Monero是更知名的加密货币之一,因此预计将保持其价值。
加密货币充其量是假名,这意味着用户隐藏在假名后面,比如一个或多个钱包ID。他们的活动可以永远被追踪,因此他们的身份保密取决于他们能将真实身份与钱包ID区分开来的程度。
XMRig
在大多数有记录的Monero攻击中,攻击者使用了XMRig。XMRig是一种流行的Monero矿机,受到攻击者的青睐,因为它易于使用、高效,而且最重要的是,它是开源的,允许攻击者修改它的代码。在一些图像中,研究人员发现了不同类型的密码器。可能是为了让攻击者能够为受害者的硬件选择最好的加密矿机。
后果
在您的容器中使用加密挖掘器不仅会导致更高的账单或更低的性能,还可能会产生其他后果,因为许多云服务提供商明确禁止为加密货币进行挖掘。
缓解
阻止加密黑客利用流行图像有几个步骤:
映像提供商需要定期检查是否被篡改,容器存储库应该监控是否存在违规行为,云服务提供商可以检查出站连接是否存在与挖掘相关的活动
容器用户应避免从不受信任的来源下载容器,在构建阶段扫描图像以查找恶意软件,在复制之前和之后检查图像的完整性,并监视运行时活动和网络通信。
由于容器只是安排软件堆栈(包括操作系统、应用程序和库)的另一种方式,所有常见的预防措施也都适用,比如及时修补漏洞。
保持安全,大家好!
评论