Unit 42研究人員在Docker Hub中 發(fā)現(xiàn)了30個(gè)惡意鏡像，總下載量超過2000萬次，保守估計(jì)加密貨幣挖礦活動(dòng)獲利20萬美元。

過去幾年里，Unit 42研究人員發(fā)現(xiàn)有基于云的加密貨幣挖礦攻擊活動(dòng)，其中礦工通過Docker Hub中的鏡像進(jìn)行部署。

云平臺(tái)被用于加密貨幣挖礦攻擊的原因有：

• 云平臺(tái)中包含有攻擊目標(biāo)的實(shí)例，比如CPU、容器、虛擬機(jī)等，每個(gè)實(shí)例被用來挖礦都可以帶來巨大的收益。
• 云平臺(tái)很難監(jiān)控。礦工可以長期運(yùn)行而不被發(fā)現(xiàn)，而且沒有任何檢測(cè)機(jī)制，用戶只有在支付云服務(wù)使用賬單時(shí)才可能會(huì)發(fā)現(xiàn)存在問題。
• 目前的云技術(shù)主要是基于容器的，而Docker Hub是默認(rèn)的容器注冊(cè)商。因此，攻擊者利用Docker Hub來在被入侵的云端部署礦工。

研究人員對(duì)Docker Hub上的惡意挖礦鏡像進(jìn)行分析，發(fā)現(xiàn)了來自10個(gè)不同Docker Hub賬戶的30個(gè)鏡像文件，累計(jì)下次次數(shù)超過2000萬次。預(yù)計(jì)挖礦收益超過20萬美元。

Docker Hub中加密貨幣挖礦鏡像中的加密貨幣分布如下所示：

其中門羅幣占比90.3%，Grin占比6.5%，Arionum占比3.2%。

門羅幣是部署最多的加密貨幣挖礦機(jī)，攻擊者首選門羅幣的原因有：

• 門羅幣提供了最大的匿名性。門羅幣的交易是隱藏的，門羅幣的匿名和隱私性使得攻擊者的非法活動(dòng)被隱藏。因此，很難追蹤其資金的流向。
• ·門羅幣挖礦算法傾向于CPU挖礦。與其他加密貨幣挖礦算法需要ASIC或GPU進(jìn)行挖礦不同的是，門羅幣挖礦算法傾向于CPU挖礦。而所有的計(jì)算機(jī)都有CPU，因此礦工可以在任意一臺(tái)機(jī)器上部署和運(yùn)行。
• 門羅幣是一款主流的加密數(shù)字貨幣。其交易量已經(jīng)達(dá)到每天1億美元，因此攻擊者挖礦所得的門羅幣可以很快出手。

在進(jìn)行門羅幣挖礦的攻擊活動(dòng)中，攻擊者使用最多的XMRig。由于XMRig非常高效率、且容易使用、而且是開源的。因此攻擊者可以修改其代碼。

研究發(fā)現(xiàn)有90%的攻擊活動(dòng)中使用XMRig，剩余10%使用Xmr-stack。

容器注冊(cè)商允許用戶升級(jí)其鏡像，并在這一過程中上傳一個(gè)新的標(biāo)簽tag到注冊(cè)商處。Tag是一種對(duì)同一鏡像的不同版本進(jìn)行標(biāo)記的方法。研究人員在分析鏡像的tag時(shí)發(fā)現(xiàn)，一些鏡像對(duì)不同的CPU架構(gòu)或操作系統(tǒng)有不同的tag。攻擊者這樣做的目的可能是適配不同操作系統(tǒng)和CPU架構(gòu)的可能的受害者。

在部分鏡像中，研究人員還發(fā)現(xiàn)有不同類型加密貨幣挖礦機(jī)的tag。這樣，攻擊者就可以針對(duì)受害者的硬件來選擇最好的加密貨幣挖礦機(jī)。

在這些鏡像中研究人員發(fā)現(xiàn)同一個(gè)鏡像中的錢包地址和礦池憑證是相同的。在這些id的幫助下，研究人員成功地對(duì)每個(gè)攻擊活動(dòng)進(jìn)行了分類。研究人員進(jìn)一步分析還發(fā)現(xiàn)有大量的Docker Hub賬戶是屬于同一攻擊活動(dòng)的。比如，021982、dockerxmrig、ggcloud1 和 ggcloud2等賬戶。

研究人員分析發(fā)現(xiàn)Docker Hub中存在用于加密貨幣挖礦攻擊活動(dòng)的惡意鏡像文件，總下載超過2000萬次。其中主要進(jìn)行門羅幣挖礦，保守估計(jì)加密貨幣挖礦活動(dòng)獲利20萬美元。

本文翻譯自：https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/