详细内容或原文请订阅后点击阅览
骗子瞄准 Docker API 服务器部署 SRBMiner
趋势科技警告称,威胁行为者正在瞄准 Docker 远程 API 服务器,以在受感染的实例上部署 SRBMiner 加密矿工。趋势科技的研究人员观察到攻击者瞄准 Docker 远程 API 服务器,以在受感染的实例上部署 SRBMiner 加密矿工。威胁行为者使用 h2c 上的 gRPC 协议绕过安全性并在 Docker 上执行加密挖掘 […]
来源:Security Affairs _恶意软件Crooks将Docker API服务器定为部署Srbminer
威胁参与者针对Docker远程API服务器,以在受损的实例中部署Srbminer Crypto矿工,趋势微型警告。
趋势微研究人员观察到针对Docker Remote API服务器的攻击者在折衷的实例上部署Srbminer加密矿工。
srbminer威胁参与者使用H2C上的GRPC协议绕过安全性并在Docker主机上执行加密矿山,并通过GRPC方法来操纵Docker功能。
grpc H2C“攻击者首先检查了Docker API的可用性和版本,然后继续进行GRPC/H2C升级和GRPC方法的请求,以操纵Docker功能。”读取趋势微观发表的分析。 “之后,攻击者从Github下载并部署了Srbminer Cryptominer,并开始挖掘到他们的加密货币钱包和公共IP地址。”
分析攻击首先是扫描面向公共的Docker API主机并检查HTTP/2升级,然后进行连接升级请求到未加密的H2C协议。
然后,攻击者检查GRPC方法以在Docker环境上执行操作,包括可用于执行健康检查,文件同步,身份验证,秘密管理和SSH转发的方法。
然后攻击者通过H2C协议请求升级。
“Once the connection upgrade request has been processed by the server with all the required parameters using gRPC requests, the attacker sends the /moby.buildkit.v1.Control/Solve gRPC request to build the Docker image-based Dockerfile.srb (Figure 6), which contains Docker container building details based on the legitimate Docker image, debian:bookworm-slim.继续分析。
攻击者从GitHub下载SRBMINER,将其解压缩为临时目录,然后将其部署到 /usr /sbin目录中。然后,攻击者使用波纹钱包开始采矿过程,并通过下划线替换期限来掩盖其公共IP地址。