WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc Kinsing Linux triển khai công cụ khai thác tiền ảo trong môi trường container
Nhiều tháng gần đây, một chiến dịch mã độc nhắm mục tiêu vào các cổng API Docker Daemon mở bị cấu hình sai đang được triển khai với mục đích cài cắm mã độc Kinsing, từ đó triển khai công cụ đào tiền ảo trong môi trường được đóng gói (container).
Các nhà nghiên cứu Aqua Security quan sát thấy hàng ngàn trường hợp bị lây nhiễm mỗi ngày. Tin tặc lợi dụng các cổng API Docker bị cấu hình sai để chạy môi trường đóng gói Ubuntu có chứa mã độc Kinsing.
Mã độc Kinsing tồn tại trong container thực thi một công cụ khai thác tiền ảo, sau đó tìm cơ hội phát tán sang các container và máy chủ lưu trữ khác.
Tất cả các cuộc tấn công đều có cùng một điểm xâm nhập, với sự khác biệt duy nhất là địa chỉ IP mà tập lệnh shell ban đầu được tải xuống. Hiện tại, ba địa chỉ IP khác nhau được xác định.
Đoạn shell được thiết kế nhằm vô hiệu hóa các phần mềm diệt virus và xóa log, loại bỏ các mã độc đào tiền ảo đối thủ bằng cách kill các ứng dụng, xóa các tệp liên quan và chặn tất cả các container Docker độc hại khác.
Đoạn shell tải và chạy mã độc Kinsing, sau đó tìm kiếm các lệnh bổ sung đang chạy trong cron để xóa chúng (bao gồm cả mã độc).
Là một mã độc trên nền tảng Linux, Kinsing được viết bằng ngôn ngữ Golang. Sau khi thực thi, mã độc sẽ liên lạc với các máy chủ C&C ở Đông Âu.
Aqua Security đã tìm thấy máy chủ cho từng chức năng của Kinsing.
Đoạn shell được sử dụng để lây nhiễm mạng container sẽ thu thập dữ liệu một cách thụ động từ /.ssh/config, .bash_history, /.ssh/known_hosts, sau đó liên lạc với từng máy chủ bằng cách thử tất cả các cách kết hợp khoá và người dùng thông qua SSH.
Công cụ khai thác tiền ảo trong cuộc tấn công này được gọi là kdevtmpfsi và được thiết kế để khai thác Bitcoin. Đầu tiên, nó kết nối với máy chủ bằng cách sử dụng truy vấn đăng nhập qua HTTP để nhận các hướng dẫn bổ sung sau đó mới bắt đầu hành vi khai thác.
Các nhà nghiên cứu Aqua Security quan sát thấy hàng ngàn trường hợp bị lây nhiễm mỗi ngày. Tin tặc lợi dụng các cổng API Docker bị cấu hình sai để chạy môi trường đóng gói Ubuntu có chứa mã độc Kinsing.
Mã độc Kinsing tồn tại trong container thực thi một công cụ khai thác tiền ảo, sau đó tìm cơ hội phát tán sang các container và máy chủ lưu trữ khác.
Tất cả các cuộc tấn công đều có cùng một điểm xâm nhập, với sự khác biệt duy nhất là địa chỉ IP mà tập lệnh shell ban đầu được tải xuống. Hiện tại, ba địa chỉ IP khác nhau được xác định.
Đoạn shell được thiết kế nhằm vô hiệu hóa các phần mềm diệt virus và xóa log, loại bỏ các mã độc đào tiền ảo đối thủ bằng cách kill các ứng dụng, xóa các tệp liên quan và chặn tất cả các container Docker độc hại khác.
Đoạn shell tải và chạy mã độc Kinsing, sau đó tìm kiếm các lệnh bổ sung đang chạy trong cron để xóa chúng (bao gồm cả mã độc).
Là một mã độc trên nền tảng Linux, Kinsing được viết bằng ngôn ngữ Golang. Sau khi thực thi, mã độc sẽ liên lạc với các máy chủ C&C ở Đông Âu.
Aqua Security đã tìm thấy máy chủ cho từng chức năng của Kinsing.
Đoạn shell được sử dụng để lây nhiễm mạng container sẽ thu thập dữ liệu một cách thụ động từ /.ssh/config, .bash_history, /.ssh/known_hosts, sau đó liên lạc với từng máy chủ bằng cách thử tất cả các cách kết hợp khoá và người dùng thông qua SSH.
Công cụ khai thác tiền ảo trong cuộc tấn công này được gọi là kdevtmpfsi và được thiết kế để khai thác Bitcoin. Đầu tiên, nó kết nối với máy chủ bằng cách sử dụng truy vấn đăng nhập qua HTTP để nhận các hướng dẫn bổ sung sau đó mới bắt đầu hành vi khai thác.
Nguồn: Security Week
Ảnh: GBHacker