趋势科技研究人员发现了网络犯罪分子用于在 Docker 远程 API 服务器上部署 SRBMiner 加密矿机的一种非常规新方法。这种攻击利用 h2c(明文 HTTP/2)上的 gRPC 协议来规避安全解决方案,并挖掘由 Ripple Labs 开发的 XRP 加密货币。
攻击开始时,威胁行为者会扫描易受攻击的 Docker API 服务器。一旦被发现,攻击者就会检查 Docker API 的可用性和版本,然后发送 gRPC/h2c 升级请求。据研究人员称,这一升级请求至关重要,因为它允许攻击者在不被发现的情况下远程操纵 Docker 功能。
一旦连接升级,攻击者就会利用 gRPC 方法执行文件同步、身份验证和 SSH 转发等任务。趋势科技的报告指出,“这些方法旨在促进 Docker 内的各种操作,包括健康检查、文件同步、身份验证、机密管理和 SSH 转发”。这些功能允许攻击者执行命令,就好像他们在直接管理服务器一样。
在建立控制权后,攻击者会部署 SRBMiner Cryptominer。具体方法是使用合法的基础镜像 debian:bookworm-slim 构建 Docker 镜像,并将矿工部署到 /usr/sbin 目录中。恶意软件从 GitHub 下载并解压到临时目录,然后开始加密挖掘过程。然后,威胁者会提供自己的瑞波钱包地址,以收集挖出的加密货币。
这种攻击特别令人担忧的原因之一是使用了 h2c 上的 gRPC 协议,这使得攻击者可以绕过安全层。通过使用这种方法,威胁者可以掩盖他们的活动,使安全工具难以检测到加密货币矿机的部署。攻击者还利用 Docker 的远程 API 功能隐秘地执行命令,确保持续挖矿。
这次攻击表明,网络犯罪分子的策略在不断演变,他们在继续寻找创新方法来利用 Docker 等容器化环境。正如研究人员所指出的,“Docker 等容器化平台在现代应用程序开发中发挥着重要作用,但如果不加以精心保护,其功能也可能成为安全隐患”。在这次攻击中,通过 HTTP/2 使用 gRPC 凸显了保护 Docker 远程 API 和监控异常活动的重要性。
发表评论
您还未登录,请先登录。
登录