駭客持續鎖定 Docker 容器環境,趨勢科技最近發現了一起網路攻擊會在使用Alpine Linux 建立的映像產生的 Docker 容器內植入虛擬加密貨幣挖礦程式與 DDoS 殭屍病毒。
駭客持續鎖定 Docker 容器環境,我們最近發現了一起網路攻擊會在使用Alpine Linux 建立的映像產生的 Docker 容器內植入虛擬加密貨幣挖礦程式與分散式阻斷服務 (DDoS) 殭屍病毒。趨勢科技今年五月也曾經通報過類似的攻擊案例,在上次的攻擊案例中,駭客建立了一個 惡意的 Alpine Linux 容器,然後在裡面暗藏惡意挖礦程式與 DDoS 殭屍病毒。
最近這一次攻擊,駭客會先連線至暴露在網路上的 Docker 伺服器,然後在伺服器上建立並執行一個 Docker 容器,接著在 Docker 容器內執行圖 1 當中的指令。
本文探討 Linux 系統上各種不同挖礦( coinmining )程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。
在一般人的印象裡,Linux 生態系應該比其他作業系統更安全、也更穩定,所以才會連 Google、NASA 和美國國防部 (DoD) 都採用 Linux 來架設其網路基礎架構和系統。可惜的是,Linux 並非只受到知名大型機構青睞,它對網路犯罪集團來說也是相當具吸引力。
本篇部落格探討 Linux 系統上各種不同虛擬加密貨幣挖礦程式彼此爭奪運算資源的激烈戰況。此外也說明這些惡意程式已開始入侵 Docker 環境與使用開放 API 的應用程式。
虛擬加密貨幣挖礦活動本質上不算惡意行為,頂多就是像 1800 年代的淘金熱一樣。只不過當年挖礦的工具是十字鎬和鏟子,如今換成了電腦,而開採的對象從黃金變成了各種虛擬加密貨幣,如:比特幣 (Bitcoin)、門羅幣 (Monero)、乙太幣 (Ethereum)、XRP 等等。隨著虛擬加密貨幣的市值突破 3,500 億美元,虛擬加密貨幣已名符其實成為一種數位金礦。
但很不幸的,並非所有數位淘金者都會透過正當手段來賺錢。網路犯罪集團經常偷偷在一些使用者的裝置上安裝虛擬加密貨幣挖礦惡意程式,利用使用者的運算資源來幫他們挖礦,完全不經使用者同意。如此一來,他們完全不需投資任何挖礦設備就能輕鬆賺錢。
近年來, 虛擬加密貨幣挖礦惡意程式大量成長,尤其是門羅幣挖礦程式。因為這款虛擬加密貨幣提供了交易的完全匿名性與私密性,因此非常適合非法交易使用。除此之外,我們發現網路犯罪集團會利用各種手段來讓獲利最大化。他們喜歡鎖定一些運算效能強大的裝置,並且將其他競爭對手的挖礦程式清除,同時也試著擴大平台和裝置的版圖。
多年來,我們一直在研究 Linux 虛擬加密貨幣挖礦惡意程式的成長趨勢。之前我們就曾分析過 KORKERDS 這個 Linux 惡意程式,它會隨附在一個 rootkit 當中,用來隱藏惡意的處理程序,不讓系統監控工具發現。此外我們也探討過 Skidmap 這個會調降受害裝置資安設定的 Linux 惡意程式,而且它還能提供後門讓駭客存取裝置。
前述兩個挖礦惡意程式都展現了高超的技巧,利用受害裝置的資源幫駭客賺錢。今日,我們要特別點出我們從自家誘捕網路和網際網路上都觀察到的一項日益普遍的現象,那就是現在的挖礦程式都會將受害裝置、系統及環境內其他類似的惡意程式停用或移除。
根據我們所分析到的樣本,這類挖礦程式在感染裝置之後的第一件事就是檢查裝置上是否有其他競爭對手的挖礦程式。如果偵測到其他挖礦程式,就會清除競爭對手的處理程序,並從系統上將其程式徹底清除,確保它們無法再次啟動。
繼續閱讀趨勢科技研究人員發現了一個新的 PowerGhost 變種會利用 EternalBlue(永恆之藍) 、MSSQL 和 Secure Shell (SSH) 暴力破解等攻擊手法來感染 Linux 系統,但根據以往的認知,此惡意程式只會攻擊 Windows 系統。
PowerGhost 是一個無檔案式虛擬加密貨幣挖礦程式,專門攻擊企業伺服器和工作站,能夠隱藏自己並將自己散布至各種端點和伺服器,它所利用的是 Windows 內建的 PowerShell 工作自動化與組態管理工具。不過,現在這項威脅也開始擴散至 Linux 系統。
我們偵測到的 PowerGhost 變種會根據受害電腦的作業系統來使用不同的惡意程式。在 Windows 系統上,它會使用以 PowerShell 為基礎的 PowerGhost (就像之前的變種),在 Linux 系統上則是使用一個包含多重元件的惡意程式。
趨勢科技在執行日常記錄檔檢查時發現我們的誘捕網路偵測到一個會從某網域下載二進位檔案的腳本。經過進一步調查分析之後,我們發現該腳本會刪除一些已知的 Linux 惡意程式、挖礦程式以及一些連上某些挖礦服務的連線。除此之外,該腳本也讓人聯想到 Xbash 的功能和 KORKERDS 惡意程式。它會安裝一個挖礦惡意程式,也會將自己植入系統並在 crontab 當中設定排程以便在重新開機後繼續執行,並且防止遭到刪除。
圖 1:我們的誘捕網路偵測到一個會從某網域下載檔案的腳本。
行為分析
在發現這個會下載二進位檔案的腳本之後,我們也進一步查看了我們 2018 年 11 月所蒐集到的某個 KORKERDS 樣本的程式碼, 並發現兩者幾乎相同,除了少數明顯新增及刪除的部分之外。與 KORKERDS 相比,這個新發現的腳本並不會移除系統上已安裝的資安產品,也不會在系統上安裝 Rootkit。反而會將 KORKERDS 惡意挖礦程式和其 Rootkit 清除。基本上,這個新的腳本會刪除 KORKERDS 的惡意程式元件和挖礦執行程序。
圖 2:新的腳本抄襲自 KORKERDS 但卻會殺掉 KORKERDS 的「kworkerds」執行程序。
圖 3:新的腳本也會移除 KORKERDS 的 Rootkit 元件。
繼續閱讀趨勢科技發現一個新的漏洞攻擊套件(命名為Underminer),它會使用其他漏洞攻擊套件出現過的功能來阻止研究人員追蹤其活動或逆向工程其送入的病毒。Underminer會傳送感染系統開機磁區的bootkit及名為Hidden Mellifera的虛擬貨幣挖礦病毒。Underminer透過加密TCP通道來派送這些惡意軟體,並且用類似ROM檔案格式(romfs)的客製化格式來封裝惡意檔案。這些作法讓漏洞攻擊套件及有效載荷(payload)難以被分析。Underminer似乎是在2017年11月所開發。不過在此次案例中,使用了包括Flash漏洞攻擊碼,並且會用無檔案攻擊手法來安裝惡意軟體。
Underminer在7月17日的活動顯示它主要將病毒散播到亞洲國家。Hidden Mellifera是從5月時出現,據報影響多達50萬台的電腦。Hidden Mellifera的作者也跟2017年8月所報導的瀏覽器劫持木馬Hidden Soul有關。關聯分析顯示Underminer是由同一批駭客所開發,而Underminer也散播了Hidden Mellifera。另外,Underminer是透過廣告伺服器派送,這伺服器的網域名稱是用Hidden Mellifera開發者的電子郵件地址註冊。
圖1、Underminer漏洞攻擊亞洲國家,據報影響多達50萬台電腦,主要攻擊日本,台灣居第二(從7月17日到7月23日)