新2开户(www.huangguan.us):近几年攻击者利用Docker API的错误配置进行攻击

自2019年以来,实施文件加密的网络攻击活动背后的黑客团伙逐渐浮出了水面。研究人员说,这些攻击活动都利用了设备上配置错误的Docker APIs,这使得他们能够获得内部网络的入口,并最终在被攻击的主机上安装后门,然后挖掘加密货币。

该攻击技术是基于脚本进行的,该攻击方式被称为 "Autom",因为它利用了文件 "autom.sh"。Aquasec研究部门在周三发表的一份报告中写道,该攻击活动在活跃时期时,攻击者一直在滥用API的错误配置,但是其使用的规避策略各不相同。

研究人员说,自2019年以来,攻击者对Nautilus团队设置的蜜罐进行了84次攻击,其中2019年有22次,2020年有58次,2021年在研究人员10月开始撰写报告前有4次攻击。研究人员还报告说,根据Shodan搜索,今年对蜜罐的攻击数量明显减少,但是针对配置错误的Docker API进行攻击的整体趋势并没有减少。

他们写道:"对我们蜜罐的攻击次数的减少,可能意味着攻击者已经识别出来了他们,因此在2021年就减少了他们的攻击量。"

研究人员说,虽然攻击者在攻击的载体中使用了相同的攻击方式来实现他们的目的—对文件进行加密,这么多年以来攻击的最大变化就是威胁者在不断演化出新的规避检测手法。

他们在报告中写道:"我们通过攻击者的规避检测的技术看到了攻击团伙的技术进步。”

他们说,攻击者自攻击活动开始以来使用了五个不同的服务器来下载启动攻击的shell脚本。研究人员写道:"看来,网络攻击背后的团体已经提升了他们的攻击技能,扩大了攻击面来进行他们的攻击"。

网络攻击分析

他们在报告中说,Nautilus团队在2019年首次观察到了这种攻击,当时在运行一个植物的图像时执行了一条恶意命令,该图像下载了一个名为autom.sh的shell脚本。研究人员解释说,攻击者通常会使用该图像和恶意命令来执行攻击,因为大多数组织都信任这些图像并允许使用它们。

他们写道,攻击者一贯使用相同的攻击切入点,然后在一个远程服务器上进行执行,搜索含有漏洞的主机,然后利用配置错误的Docker APIs进行攻击。

,

新2开户www.huangguan.us)是一个开放皇冠正网即时比分、新2开户的平台。新2线上开户平台(www.huangguan.us)提供最新皇冠登录,皇冠APP下载包含新皇冠体育代理、会员APP。

,

然后他们运行vanilla镜像和其他的恶意shell,通过这两种方法创建一个用户--adduser(通过设置账户的主文件夹和其他设置来添加用户)和useradd(用于添加用户的低级命令),其用户名字为akay。

由于新创建的用户没有特权,威胁者通过使用 "sudo "命令来提升权限,然后将其变成一个root用户,授予无限的权限来运行任何sudoers文件。研究人员写道,这改变了sudo在目标机器上的工作方式,基本上可以使攻击者成为超级用户。

然后,攻击者会使用域名icanhazip[.com]获得被攻击主机的公共IP地址,并从服务器上删除下载的文件。研究人员写道,通过这一系列的操作,攻击者成功安装了一个后门,使得他们在被攻击主机上获得了权限的持久性,这样可以隐蔽地挖掘加密货币。

规避安全检查

研究人员说,虽然攻击者自Autom开始攻击活动以后,几乎没有改变他们入侵受害者机器并实现持久性的方式,但他们却改变了两件事--下载shell脚本autom.sh的服务器,以及具体的规避战术。

对于后一点,Nautilus团队观察到该攻击活动从2019年没有使用隐藏其攻击行为的技术发展到在接下来的两年里增加了更为复杂的隐蔽战术。

2020年,他们禁用了一些安全机制来确保其隐蔽性,包括ufw(非复杂防火墙),它能够允许或拒绝用户对某项服务进行访问,以及NMI(非屏蔽中断),它是最高优先级的中断,通常发生在不可恢复的硬件错误信号中,还可以用于监测系统的复位。

研究人员说,今年,攻击者还增加了一种新的攻击技术,通过从远程服务器下载一个混淆的shell脚本来隐藏加密攻击活动。

他们写道:"他们对脚本进行了五次base64编码,这样可以防止安全工具读取它并了解其背后的意图。该脚本其实是用来挖矿的恶意脚本"。

研究人员补充说,在攻击的过程中增加了其他的功能包括下载log_rotate.bin脚本,该脚本创建了一个新的cron 任务来启动加密开采活动,该cron job将在被攻击的主机上每55分钟启动一次。

他们指出:"Autom的攻击活动表明,攻击者的攻击方式正在变得越来越复杂,不断的改进他们的攻击技术来避免被安全解决方案发现的可能性。”

本文翻译自:https://threatpost.com/cryptomining-attack-exploits-docker-api-misconfiguration-since-2019/177299/

  • 评论列表:
  •  新2网址(www.hg9988.vip)
     发布于 2022-01-07 00:03:18  回复
  • 1月2日0—24时,31个省(自治区、直辖市)和新疆生产建设兵团报告新增确诊病例161例。其中境外输入病例60例(上海26例,广西7例,广东6例,内蒙古5例,北京4例,天津2例,福建2例,河南2例,云南2例,浙江1例,山东1例,四川1例,陕西1例),含7例由无症状感染者转为确诊病例(广西3例,广东2例,河南1例,四川1例);本土病例101例(陕西92例,其中西安市90例、咸阳市1例、延安市1例;浙江9例,均在宁波市)。无新增死亡病例。无新增疑似病例。吃饭我也在看
    •  收购usdt(www.usdt8.vip)
       发布于 2022-01-07 19:51:53  回复
    •   武汉晚报讯(记者冷靖华 通讯员黄巍 吴冬晖)12月30日,记者从武汉公积金中心首批旗舰店授牌仪式上了解到,武汉有20家银行网点成为首批住房公积金旗舰店。据悉,这些旗舰店将会实现公积金柜面全业务办理,届时市民在旗舰店办理公积金业务更方便了。每天下班都看的
  •  usdt币在哪里交易(www.usdt8.vip)
     发布于 2022-01-12 00:06:47  回复
  • 在新冠肺炎疫情加快数位转型下,台积电持续看好5G及高效能运算大趋势,受惠于苹果、高通、联发科、超微、博通等大客户订单涌现,2022年7奈米及5奈米维持满载投片,4奈米进入量产,成熟制程产能利用率超过100%,加上调涨晶圆代工价格,法人看好台积电2022年上半年第一季续创新高,全年营收将逐季成长。大家多多评论呀
  •  usdt匿名交易(www.caibao.it)
     发布于 2022-01-20 00:02:51  回复
  • 据乐读优课微信公众号显示, 乐读优课是一家获得教育主管部门批准成立的非营利性学科类培训机构,将于2022年1月开始面向全国中小学生提供义务教育阶段的直播课程及服务。 很好。。收藏睡前看
  •  a55555.net
     发布于 2022-01-22 00:09:14  回复
  •   不过《镜报》在文章最后提醒「话虽如此,但鉴于高普对法明奴的高度重视,必须对这个来自加泰罗尼亚媒体的消息持保留态度。」本站老粉前来围观

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。