自2019年至今,执行文件加密的互联网攻击主题活动后面的网络黑客犯罪团伙慢慢冒出来了水面。科学研究工作人员说,这种攻击主题活动都利用了机器设备上配备不正确的Docker APIs,这导致它们可以获取内部结构互联网的入口,并最后在被攻击的主手机上下载侧门,随后发掘加密货币。
该攻击技术性是根据脚本制作实现的,该攻击方法被称作 "Autom",因为它利用了文档 "autom.sh"。Aquasec科学研究单位在周三发布的一份报告书中写到,该攻击主题活动在活跃性阶段时,攻击者一直在乱用API的不正确配备,可是其采用的防范对策不尽相同。
科学研究工作人员说,自2019年至今,攻击者对Nautilus精英团队设定的蜜獾开展了84次攻击,在其中2019年有22次,2020年有58次,2021年在科学研究工作人员10月逐渐编写汇报前有4次攻击。科学研究工作人员还汇报说,依据Shodan检索,2022年对蜜獾的攻击总数显著降低,可是对于配备不正确的Docker API开展攻击的总体发展趋势并沒有降低。
她们写到:"对大家蜜獾的攻击频次的降低,很有可能代表着攻击者早已鉴别出来她们,因而在2021年就降低了他俩的攻击量。"
科学研究工作人员说,尽管攻击者在攻击的媒介中采用了同样的攻击方法来达到她们的目地—对资料实现数据加密,这些年至今攻击的最大的改变便是危害者在持续演变更新的避开检验技巧。
她们在汇报中写到:"大家根据攻击者的避开检验的技术性看到了攻击犯罪团伙的技术进步。”
她们说,攻击者自攻击主题活动进行至今应用了五个不一样的云服务器来免费下载运行攻击的shell脚本制作。科学研究工作人员写到:"来看,互联网攻击身后的团队早已提高了他俩的攻击专业技能,扩张了攻击面来开展她们的攻击"。
互联网攻击剖析
她们在报告书上说,Nautilus精英团队在2019年初次观查到了这类攻击,那时候在运作一个绿色植物的图象时实行了一条故意指令,该图象安装了一个名叫autom.sh的shell脚本制作。科学研究工作人员表述说,攻击者通常会应用该图象和故意指令来实行攻击,由于大部分机构都信赖这种图象并容许应用他们。
她们写到,攻击者一贯应用同样的攻击突破口,随后在一个远程控制服务器上进行实行,检索带有系统漏洞的服务器,随后利用配备不正确的Docker APIs开展攻击。
随后她们运作vanilla镜像文件和其它的故意shell,根据这二种方式建立一个客户--adduser(根据设定帐户的主文件夹名称和别的设定来加上客户)和useradd(用以加上客户的低等指令),其客户名称为akay。
因为创好的客户没有特权,危害者根据应用 "sudo "指令来提高管理权限,随后将其成为一个root客户,授于无尽的管理权限来运作一切sudoers文件。科学研究工作人员写到,这更改了sudo在总体目标设备上的工作方式,大部分可以使攻击者变成忠实用户。
随后,攻击者会应用网站域名icanhazip[.com]得到被攻击服务器的公共性IP地址,并从服务器上删掉免费下载的文档。科学研究工作人员写到,根据这一系列的实际操作,攻击者取得成功组装了一个侧门,促使她们在被攻击服务器上取得了授权的持续性,那样可以隐敝地发掘加密货币。
避开安全大检查
科学研究工作人员说,尽管攻击者自Autom逐渐攻击主题活动之后,几乎没更改她们侵入受害人设备并完成持续性的方法,但它们却变化了几件事--免费下载shell脚本autom.sh的网络服务器,及其主要的避开战略。
针对后一点,Nautilus精英团队观测到该攻击主题活动从2019年沒有应用掩藏其攻击个人行为的工艺发展趋势到在下面的几年里提升了更加错综复杂的隐敝战略。
2020年,她们禁止使用了一些安全性体制来保证 其隐秘性,包含ufw(非繁杂服务器防火墙),它可以容许或回绝客户对某种服务项目开展浏览,及其NMI(非屏蔽掉终断),它是最大优先的终断,通常出现在不能修复的硬件配置不正确数据信号中,还能够用以检测系统的校准。
科学研究工作人员说,2022年,攻击者还提升了一种新的攻击技术性,根据从虚拟服务器下载一个搞混的shell脚本制作来掩藏数据加密攻击主题活动。
她们写到:"她们对脚本制作开展了五次base64编号,那样可以避免安全工具载入它并知晓其后面的用意。该脚本制作实际上是用于挖币的故意脚本制作"。
科学研究工作人员填补说,在攻击的历程中提高了其余的作用包含免费下载log_rotate.bin脚本制作,该脚本建立了一个新的cron 每日任务来运行数据加密采掘主题活动,该cron job将在被攻击的服务器上每55分鐘运行一次。
她们强调:"Autom的攻击主题活动说明,攻击者的攻击方法正变的越发繁杂,持续的改善它们的攻击技术性来防止被安全性解决方法发觉的概率。”
文中翻譯自:https://threatpost.com/cryptomining-attack-exploits-docker-api-misconfiguration-since-2019/177299/倘若转截,请标明全文详细地址。