Новый вирус вредоносных программ начал терроризировать хосты

Впервые в истории компьютерная экспертиза помогла исследователям обнаружить криптографического червя, распространяющегося по незащищенным хостам Docker.

Исследователи из 42-го блока говорят, что новый вид вредоносного ПО распространился на более чем 2000 хостов Docker с помощью контейнеров в Docker Engine (Community Edition).

Новый червь был назван Graboid после вымышленных подземных песчаных червей , которые сделали довольно плохое шоу охоты на людей в девяностые Флик Дрожь . Как и его предшественники на экране, Graboid быстр, но относительно некомпетентен.

Graboid предназначен для работы случайным образом, который, по словам исследователей, не имеет очевидных преимуществ. Вредоносная программа выполняет как распространение червя, так и криптовалюту внутри контейнеров, выбирая три цели на каждой итерации.

Исследователи писали: «Он устанавливает червя на первой цели, останавливает майнера на второй цели и запускает майнера на третьей цели. Эта процедура приводит к очень случайному поведению при майнинге.

«Если мой хост скомпрометирован, вредоносный контейнер не запускается немедленно. Вместо этого мне приходится ждать, пока другой скомпрометированный хост заберет меня и запустит процесс майнинга. Другие скомпрометированные хосты также могут случайным образом остановить мой процесс майнинга. По сути, майнер на каждом зараженный хост случайным образом контролируется всеми другими зараженными хостами. "

Graboid не торчит долго, майнируя криптовалюту Monero в среднем чуть более четырех минут, прежде чем выбирать новые уязвимые хосты для цели. Червь работает, получая начальную точку опоры через незащищенные демоны Docker, где образ Docker был впервые установлен для запуска на скомпрометированном хосте.

Исследователи предупредили, что гриф Грабоида потенциально может превратиться в мощный укус, и посоветовали организациям защитить свои хосты Docker.

Исследователи писали: «Хотя этот криптографический червь не использует сложные тактики, методы или процедуры, он может периодически извлекать новые сценарии из C2, поэтому он может легко перенаправить себя на вымогателей или любую вредоносную программу, чтобы полностью скомпрометировать хосты. линия и не должны быть проигнорированы ".

Тим Эрлин, вице-президент по управлению продуктами и стратегии в Tripwire , посоветовал разработчикам взяться за безопасность раньше, чем позже.

Он сказал: «DevOps имеет тенденцию отдавать предпочтение скорости, а не безопасности, но когда вам нужно прекратить то, что вы делаете, чтобы справиться с таким инцидентом, вы теряете прирост скорости, который вы могли бы получить, оставив безопасность вне жизненного цикла DevOps». Решение проблемы безопасности посредством реагирования на инциденты - самый дорогой способ применения ».


Загрузка...

Всего комментариев: 0