駭客持續鎖定 Docker 容器環境,趨勢科技最近發現了一起網路攻擊會在使用Alpine Linux 建立的映像產生的 Docker 容器內植入虛擬加密貨幣挖礦程式與 DDoS 殭屍病毒。
駭客持續鎖定 Docker 容器環境,我們最近發現了一起網路攻擊會在使用Alpine Linux 建立的映像產生的 Docker 容器內植入虛擬加密貨幣挖礦程式與分散式阻斷服務 (DDoS) 殭屍病毒。趨勢科技今年五月也曾經通報過類似的攻擊案例,在上次的攻擊案例中,駭客建立了一個 惡意的 Alpine Linux 容器,然後在裡面暗藏惡意挖礦程式與 DDoS 殭屍病毒。
最近這一次攻擊,駭客會先連線至暴露在網路上的 Docker 伺服器,然後在伺服器上建立並執行一個 Docker 容器,接著在 Docker 容器內執行圖 1 當中的指令。
惡名昭彰的「Mirai」物聯網 (IoT) 殭屍網路病毒 (趨勢科技命名為 ELF_MIRAI 家族) 又再度出現在一波新的攻擊行動當中,此次的目標是阿根廷,攻擊的徵兆是連接埠「2323」和「23」流量暴增。隨後,攻擊行動又擴散至南美和北非國家,趨勢科技在哥倫比亞、厄瓜多爾、巴拿馬、埃及、突尼西亞等國偵測到一系列攻擊與大量 Mirai 病毒活動。同時,在阿根廷境內的活動也增加。
針對這最新的第二波攻擊,我們總共蒐集到六個國家的資料。從 UTC 時間 11 月 29 日 2:00 至 11 月 29 日 8:00 這段期間,我們總共偵測到 371,640 次攻擊 (來自 9,000 個左右的非重複 IP 位址)。此波攻擊的主要目標為哥倫比亞,此外,厄瓜多爾、阿根廷、埃及和突尼西亞的情況也類似。唯一的例外是巴拿馬,其受攻擊的時間較晚,數量也較其他國家少。下圖顯示第一波攻擊 (針對阿根廷) 與第二波攻擊 (針對哥倫比亞和巴拿馬) 的攻擊數量比較:
圖 1 和圖 2:第一波和第二波攻擊的時間和數量 (皆為 UTC 時間)。
從上圖可看出清楚的攻擊模式:第一波最早大約是從 11 月 22 日的 16:00 左右開始,一直持續到 11 月 25 日 1:00 左右,攻擊數量才下降至 1,000。第二波最早開始於 11 月 29 日 4:00 左右,與針對阿根廷那一波攻擊不同的是,第二波攻擊的數量分布較為平均。哥倫比亞所承受的攻擊數量最多。這波攻擊第一個高峰出現在 11 月 29 日隨後逐漸消退。緊接著在 12 月 1 日 8:00 至 9:00,又出現第二次高峰,而且創下哥倫比亞單一小時攻擊量最高紀錄 (80,825 次,在 7:00 左右)。 繼續閱讀