Docker Hosts no seguros atacados por el nuevo gusano Cryptojacking Graboid

Se descubrió una nueva campaña de criptojacking utilizando imágenes de Docker para entregar un gusano que sigue un plan aparentemente errático en el que el minero está activo durante unos cuatro minutos cada vez en un huésped infectado.

Llamado Graboid, por el gusano de arena de la película “Tremors” de 1990, el malware se extiende a sistemas con un motor Docker no seguro.

Los contenedores Docker son entornos aislados del sistema operativo con código y dependencias que necesita una aplicación para ejecutarse en cualquier infraestructura soportada.

Más de 2.000 hosts vulnerables/infectados

Buscando en el motor de búsqueda de Shodan, los investigadores de Palo Alto Networks encontraron más de 2.000 servicios Docker inseguros expuestos a la web pública. Esto es forraje para Graboid.

En su análisis, los investigadores descubrieron un script del servidor de comando y control (C2) de Graboid que recuperó una lista con más de 2.000 direcciones IP, lo que sugiere que el atacante ya había escaneado en busca de hosts vulnerables.

No está claro cuántos de ellos estaban infectados, ya que el malware elige al azar los siguientes objetivos de la lista.

Después de comprometer a uno de ellos, el atacante envía comandos remotos para descargar la imagen del Docker “pocosow/centos” desde el Docker Hub y lo despliega.

La imagen tiene el cliente Docker que se utiliza para comunicarse con otros hosts Docker. La actividad criptográfica (Monero) se lleva a cabo a través de un contenedor separado llamado’gakeaws/nginx’, que se hace pasar por el servidor web de nginx.

Pocosow/centos’ también se utiliza para descargar desde el C2 un conjunto de cuatro scripts y ejecutarlos:

  • live.sh – envía información sobre las CPUs disponibles en el host comprometido.
  • worm.sh – descarga la lista de hosts vulnerables, escoge nuevos objetivos e implementa’pocosow/centos’ en ellos a través del cliente Docker.
  • cleanxmr.sh – detiene la actividad criptográfica en un huésped aleatorio.
  • xmr.sh – selecciona una dirección aleatoria de la lista de hosts vulnerables y despliega el contenedor criptográfico ‘gakeaws/nginx’.

Palo Alto Networks descubrió que Graboid recibe comandos de 15 hosts comprometidos, 14 de los cuales están presentes en la lista de IPs vulnerables y el último tiene más de 50 vulnerabilidades conocidas, una clara indicación de que el atacante los comprometió específicamente con fines de control de malware.

Los dos contenedores involucrados en la operación de criptojacking Graboid han sido descargados miles de veces. El enmascarador CenOS tiene más de 10.000 tiros mientras que el poser nginx tiene alrededor de 6.500.

Hosts vulnerables/infectados

Graboid consulta constantemente el servidor C2 en busca de nuevos hosts vulnerables y utiliza la herramienta de cliente Docker para descargar e implementar remotamente el contenedor infectado.

Actividad aleatoria aparente

Graboid sigue un patrón que puede parecer inconstante y la razón de esto sigue siendo poco clara. Teorías como el mal diseño, la evasión o la sostenibilidad son todas explicaciones plausibles, dicen los investigadores en un informe de hoy.

Cada minero está activo alrededor del 60% del tiempo y la minería está limitada a 250 segundos por sesión. Además, los mineros no trabajan al mismo tiempo y ni siquiera se ponen en marcha en el momento de su instalación.

“Escoge al azar tres objetivos en cada iteración. Instala el gusano en el primer objetivo, detiene al minero en el segundo objetivo e inicia al minero en el tercero. Este procedimiento conduce a un comportamiento minero muy aleatorio” – Palo Alto Networks

En pocas palabras, los hosts comprometidos en la red de bots controlan el proceso de extracción en otros hosts infectados dándoles instrucciones para que inicien o detengan la sesión.

En una simulación de la actividad del gusano, los investigadores determinaron que Graboid necesita alrededor de una hora para propagarse a 1.400 huéspedes Docker comprometidos. Si cada uno de ellos tuviera una CPU, la botnet tendría una potencia minera de 900 CPU en todo momento.

En el pasado se ha informado de campañas de criptojacking con contenedores Docker. Un informe de Juniper Networks de noviembre del año pasado reveló que los ciberdelincuentes estaban aprovechando los servicios Docker mal configurados para añadir contenedores con un script de minería Monero.

El troyano Dofloo, una red de bots conocida por lanzar ataques DDoS y actividades de criptominado, durante el verano se centró en las API mal configuradas de la utilidad Docker Engine-Community DevOps.

Fuente: bleepingcomputer

Comments are closed.