30 个 Docker 镜像在加密劫持攻击中被下载 2000 万次

Palo Alto Network研究人员Aviv Sasson发现了30个恶意Docker映像，这些映像被下载了2000万次，涉及加密劫持操作。

专家通过检查挖矿池来确定挖出到挖矿池帐户中的加密货币的数量。专家发现的图像中有一半是在一个共享的采矿池中使用的，据他估计，威胁行为者在两年内开采了价值200,000美元的加密货币。

“最简单的方法之一是加密劫持-非法使用他人的计算资源来开采加密货币。容器映像是一种分发软件的简单方法，而恶意的加密劫持映像也是攻击者分发其加密矿工的一种简单方法。” 阅读由Palo Alto Network发表的帖子。*

“我决定深入研究Docker Hub，发现了30个恶意映像，总共提取了2000万次请求（这意味着这些映像被下载了2000万次），加起来价值20万美元的加密劫持操作。”*

Docker Hub 是世界上最大的。图书馆和社区的容器图像。它包括来自软件供应商，开源项目和社区的100,000多个容器映像。

在大多数攻击中，威胁行为者开采了Monero加密货币（90,3％），但Sasson和他的团队也发现了针对采矿Grin（GRIN）（6.5％）或ARO（Aronium）（3.2％）加密货币的运动。

在开采Monero的大多数攻击中，威胁参与者使用XMRig矿工，但攻击者还滥用了Hildegard和Graboid矿工。

“在开采Monero的大多数攻击中，攻击者都使用XMRig，就像我们在 Hildegard 和 Graboid 中所看到的那样 。XMRig是一个受欢迎的Monero矿工，受到攻击者的青睐，因为它易于使用，高效且最重要的是开源。因此，攻击者可以修改其代码。” 继续报告。

“例如，大多数Monero加密矿工都将其采矿时间的一定百分比捐赠给了矿工的开发人员。攻击者的一种常见修改是将捐赠百分比更改为0。”

研究人员指出，容器注册表允许用户升级其图像，也可以将新标签上载到注册表。标签用于引用同一图像的不同版本。

研究人员注意到，某些图像针对不同的CPU体系结构或操作系统具有不同的标签，从而使攻击者可以为受害者的硬件选择最佳的加密矿工。

所有标签都具有共同的钱包地址或采矿池凭据，它们的分析使专家可以将某些恶意帐户与过去的密码劫持攻击相关联。

“云为加密劫持攻击提供了巨大的机会。在我的研究中，我使用了一种加密采矿扫描仪，该扫描仪仅检测简单的加密采矿有效载荷。我还通过将钱包地址与以前的攻击相关联来确保任何识别出的图像都是恶意的。即使使用这些简单的工具，我也可以通过数百万次的拉伸来发现数十个图像。” 专家总结。“我怀疑这种现象可能比我发现的现象更大，在许多情况下，有效载荷不易检测到。”*

Palo Alto的研究人员提供了这些攻击的危害指标（IoC）以及他们发现的恶意Docker映像的列表。