趨勢科技架設了一台機器模擬Docker主機來監控針對容器的惡意活動,這個蜜罐系統的主機有著對外暴露的API,這是容器相關威脅最常攻擊的目標之一。我們的目標是透過監控蜜罐系統來偵測是否有人找到它並用來部署有問題的容器,最終希望可以找出攻擊的源頭。我們最近檢查了蜜罐狀態,發現已經有容器被部署進去。
分析蜜罐系統的日誌和流量資料後發現此容器來自名為zoolu2的公開(因此可以連上)Docker Hub儲存庫。檢查並下載儲存庫的內容後,我們發現它包含了9個映像,裡面含有客製化shell、Python腳本、設定檔,還有Shodan和虛擬貨幣挖礦程式。請注意,Docker自己也發現了此儲存庫,並在本文撰寫時已經讓其離線。
zoolu2儲存庫內的所有映像都包含了門羅幣(XMR)挖礦程式。這引起了我們的興趣,因為我們之前看過了將容器部署成礦工。此外,有些映像包含了列出有對外暴露API Docker主機的Shodan腳本,我們推測這些腳本是用來找出進一步散播的目標。
圖1. zoolu2 Docker Hub儲存庫
繼續閱讀