虚拟货币挖国外矿池思路

2023年06月15日 23:05

至顶网软件频道消息：网络犯罪分子们正在逐渐放弃勒索软件，转而使用加密货币恶意软件。

这些恶意软件的变种被称为加密劫持，它们会掠夺受感染机器的CPU，以窃取算力进行虚拟货币挖矿，如以太坊（ETH）和Monero（XMR），然后将挖到的虚拟货币发送到攻击者控制的钱包。

问题正在变得越来越普遍。最近，已经有一些加密劫持的罪犯被判刑，一些大学关闭了网络以停止加密货币挖矿操作，路由器成了加密劫持的奴隶，有三分之一的组织报告遭到了加密劫持攻击。

Docker容器是标准的软件单元，它将代码以及它们链接的所有依赖项打包，以提高应用程序从一个计算环境转移到另一个计算环境的速度。

这些轻量级工具可以是应用程序“开发到部署”生命周期中非常有用的工具，就Docker而言，已经有超过350万个应用程序通过这样的技术放置在容器之中。

然而，在Docker越来越受到IT专业人士的欢迎的同时，网络犯罪分子也正在探索如何利用容器技术来实现自己的目的。

来自Threat Stack的研究人员向ZDNet介绍了这些犯罪分子是如何对企业使用的容器进行加密劫持的。

这些研究人员表示，攻击的第一阶段是识别出易受远程代码注入攻击的前端系统和网站。通过应用程序层发送一个命令——通常通过操控域上的文本字段或通过网站URL中的公开API进行，或者利用“探测代码参考网站上常见的嵌入式shell控制台”。

然后，注入的代码过滤到后端操作系统，最终找到通往容器环境的路径。

当容器开始工作时，攻击的第二阶段也拉开了序幕。在最近发现的攻击中，代码被执行并且命令被直接发送到Docker容器中的shell。

Threat Stack表示：“虽然受限于容器对主机操作系统的简化视图，但攻击者现在可以任意运行不受信任的代码了。”

在第三阶段，通过wget命令下载加密挖矿恶意软件。在迄今为止观察到的攻击中，CNRig已被用于感染机器。

有效负载使用CryptoNight算法，该算法是用C ++编写的，并且与Linux CPU兼容。基于XMRig Monero，CNRig还包含自动更新功能。

Threat Stack表示，此阶段的速度表明自动脚本已就位以执行有效负载，随后更改CNRig可执行文件的权限，以确保其运行时无需进一步的身份验证。

加密劫持有效负载耗尽了/ tmp目录。

然后CNRig将尝试建立三个连接；两个用于在受感染的计算机和攻击者的矿池之间创建一条安全通道，另一个用于CDN。但是，在目前记录的案例中，由于网络层保护和防火墙的存在，这些尝试并不总是能够成功。

Threat Stack对ZDNet表示，该公司已经发现“越来越多的攻击者已经开始瞄准像Docker这样的容器编排工具，而且随着更多的组织开始部署使用容器，这种趋势估计会持续下去。”

攻击向量很有趣，但并没有立即显示出与加密劫持有关。但是，可是一旦“挖”到了虚拟货币，攻击者往往就会证明自己足智多谋，而且富有创新精神。

为了保护自己免受这些威胁，该公司表示企业用户应该确保底层文件不能从容器中写入；CPU消耗设置软限制和硬限制，并且应启用警报，在启动交互式shell时报警。

推荐阅读