標籤: 虛擬貨幣

趨勢科技最近發現有設定不當導致API端口暴露的Docker遭到惡意利用的案例。有惡意活動會掃描開放端口2375/TCP和2376/TCP，這些是Docker引擎服務（dockerd）所使用的端口。攻擊者接著將虛擬貨幣挖礦病毒（趨勢科技偵測為Coinminer.SH.MALXMR.ATNE）散布到這些設定不當的系統。

Docker會在作業系統層級實現虛擬化 – 也稱為容器化（containerization）。Docker API能夠讓遠端使用者像本地端用戶那樣地控制Docker映像。建議不要開放能夠讓外部存取的API端口，因為這會讓駭客有機會利用此不當設定進行惡意活動。

Docker引擎本身並沒有遭到攻擊，Docker企業版本也沒有受到影響。我們是在Docker社群版本看到這些少見的惡意行為。事實上，Docker技術提供讓使用者可以啟用及設定的安全功能來保護容器和工作負載。Docker也提供了防護Docker社群和企業版本的工具、文件和指南。當然，兩者的安全最佳實作都會要求不要開放這些端口。比方說建議運行商業應用程式的企業使用商業用的Docker企業版，能夠提供精確、基於角色的存取控制設定，必須經過身份認證才能使用API。

在我們的研究中，Docker API端口暴露是使用者設定不當的結果，因為我們發現這不當設定是在管理員層級手動設定的。實際上，因為設定不當而讓自身暴露於威脅中並非新鮮事，而這對企業來說也可能是得長期面對的挑戰。事實上，我們透過Shodan搜尋發現有許多人的Docker主機設定不當，特別是在中國。而同時還有美國、法國、德國、新加坡、荷蘭、英國、日本、印度和愛爾蘭也出現設定不當的Docker主機。大多數暴露的系統都是運行Linux作業系統。有意思的是Linux上的服務需要手動設定，而在Windows上直到17.0.5-win8都不是如此，出於安全理由而禁止服務暴露。雖然不當設定廣泛地在各版本都有發生，但根據Shodan的搜尋結果顯示超過一半有此問題的主機運行的是18.06.1-ce版本，這是相對較新的Docker版本。

 

圖1：在端口2375和2376觀察到的惡意活動或因不當設定遭濫用的時間軸（上）和國家/地區分佈（下）

圖2：攻擊不當設定Docker引擎的感染鏈

繼續閱讀

有鑑於 虛擬貨幣的價值和重要性突然飆升，網路犯罪集團已開始想辦法利用這波趨勢來開拓額外賺錢途徑。其中最常見的犯罪手法是利用虛擬貨幣挖礦惡意程式，而且這儼然已逐漸取代了勒索病毒。不過，加密貨幣挖礦程式並非唯一威脅，網路犯罪集團已開發出各種不同工具和技巧，來詐騙加密貨幣交易所的使用者，竊取其貨幣和個人資訊。

虛擬加密貨幣交易所是投資人買賣虛擬貨幣 (如比特幣Bitcoin）、以太幣等等) 的平台，例如 Binance、Bitfinex、Kucoin 和 Bittrex 都是。由於交易所在數位貨幣交易過程當中擔任的是「仲介」的角色，因此也是歹徒最常攻擊的目標之一，包括直接駭入交易所，或者假冒這類交易平台。除此之外，網路犯罪集團也經常利用投資人渴望致富的心理，針對加密貨幣投資人推出一些所謂的「輔助」工具，但其實是惡意程式。

賠錢的交易或許會造成投資人損失，但本文將討論的9種網路犯罪風險，甚至會讓原本賺錢的投資人血本無歸。

1.     網路釣魚

目前，這類交易平台相關的網路釣魚手法相當常見。因為，歹徒只要能夠騙到使用者的帳號登入憑證，就等於意味著獲利。歹徒經常使用的一種詐騙手法就是，利用看似很像的網域名稱或網站來假冒虛擬加密貨幣交易平台，讓使用者誤以為自己連上的是官方網站，進而提供自己的帳號登入憑證。在這些攻擊當中，歹徒會利用網路釣魚郵件將使用者導向假冒網站。

另一種攻擊方式是，歹徒會使用國際化網域名稱 (Internationalized Domain Name，簡稱 IDN) 來註冊網路釣魚網站的網域名稱。這些 IDN 名稱會刻意取得跟其假冒的對象很像。

如上圖，乍看之下，左邊假冒網站的網址和右邊原始網站的網址很像，甚至還支援 HTTPS 安全連線。但如果細看就會發現，假冒的「yobit.net」網域名稱的第二個字母是「õ」而不是「o」。使用者如果沒有特別留意，很可能就會以為自己正在登入該交易所的官方網站。

2.     交易平台遭駭

交易平台如果不幸遭到駭客入侵，其客戶帳上的貨幣通常都會因而遭殃。今年稍早，東京 Coincheck 交易所即遭遇虛擬加密貨幣有史以來最大一樁駭客事件，損失了超過 5 億美元的虛擬加密貨幣。而駭客除了竊取貨幣之外，還可能竊取交易平台程式開發介面 (API) 的金鑰。歹徒可利用這些金鑰來開發機器人程式，進而提領使用者帳上的貨幣或偷偷執行買賣。

3.     註冊表單遭駭入

繼續閱讀