加密劫持警报:黑客利用 gRPC 和 HTTP/2 来部署矿机

阅读量32911

发布时间 : 2024-10-23 15:40:58

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cryptojacking-alert-hackers-exploit-grpc-and-http-2-to-deploy-miners/

译文仅供参考,具体内容表达以及含义原文为准。

SRBMiner

趋势科技研究人员发现了网络犯罪分子用于在 Docker 远程 API 服务器上部署 SRBMiner 加密矿机的一种非常规新方法。这种攻击利用 h2c(明文 HTTP/2)上的 gRPC 协议来规避安全解决方案,并挖掘由 Ripple Labs 开发的 XRP 加密货币。

攻击开始时,威胁行为者会扫描易受攻击的 Docker API 服务器。一旦被发现,攻击者就会检查 Docker API 的可用性和版本,然后发送 gRPC/h2c 升级请求。据研究人员称,这一升级请求至关重要,因为它允许攻击者在不被发现的情况下远程操纵 Docker 功能。

一旦连接升级,攻击者就会利用 gRPC 方法执行文件同步、身份验证和 SSH 转发等任务。趋势科技的报告指出,“这些方法旨在促进 Docker 内的各种操作,包括健康检查、文件同步、身份验证、机密管理和 SSH 转发”。这些功能允许攻击者执行命令,就好像他们在直接管理服务器一样。

在建立控制权后,攻击者会部署 SRBMiner Cryptominer。具体方法是使用合法的基础镜像 debian:bookworm-slim 构建 Docker 镜像,并将矿工部署到 /usr/sbin 目录中。恶意软件从 GitHub 下载并解压到临时目录,然后开始加密挖掘过程。然后,威胁者会提供自己的瑞波钱包地址,以收集挖出的加密货币。

这种攻击特别令人担忧的原因之一是使用了 h2c 上的 gRPC 协议,这使得攻击者可以绕过安全层。通过使用这种方法,威胁者可以掩盖他们的活动,使安全工具难以检测到加密货币矿机的部署。攻击者还利用 Docker 的远程 API 功能隐秘地执行命令,确保持续挖矿。

这次攻击表明,网络犯罪分子的策略在不断演变,他们在继续寻找创新方法来利用 Docker 等容器化环境。正如研究人员所指出的,“Docker 等容器化平台在现代应用程序开发中发挥着重要作用,但如果不加以精心保护,其功能也可能成为安全隐患”。在这次攻击中,通过 HTTP/2 使用 gRPC 凸显了保护 Docker 远程 API 和监控异常活动的重要性。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+11赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66