密币挖掘恶意软件已成功通过 Docker 和 Kubernetes 转向云

翻译：360代码卫士团队

成功祸害浏览器、台式机和服务器后，密币挖掘恶意软件正在入侵云，而且结果看似非常成功。

上个月，多份安全报告认为恶意软件作者现在正在积极寻找访问 Docker 和 Kubernetes 系统的权限。Docker 和 Kubernetes 应用是很多现代云计算服务的基石。

这两种工具的作用是帮助开发人员推出容器化/虚拟化的应用，而且当公司的基础设施需要更多的处理能力处理流量激增或额外计算任务时，它们能够推出整个服务器设置。

因此，如果黑客设法获得对这些系统的访问权限，那么他们不仅能够获得对公司整个基础设施的密钥，而且还能访问大量算力。

另外，从最近发布的报告来看，似乎近期针对云基础设施的黑客活动集中在使用这种大量算力为攻击者挖掘密币。

Sysdig 公司的研究员在今年年初首次检测到针对 Kubernetes 和 Docker实例的攻击。他们观测到，攻击蜜罐服务器后，攻击者会接管 Kubernetes 实例并试图将 Docker 容器部署在内部并试图挖掘门罗币。

Aqua 安全公司的专家随后报告了类似的蜜罐日志，他们表示攻击针对单独的 Docker 实例，黑客试图在攻击过程中挖掘门罗币。

RedLock 公司的安全研究人员也曾发现特斯拉拥有的 Kubernetes 集群被用于挖掘门罗币。特斯拉公司表示黑客并未从服务器中窃取任何信息，意图只是挖掘密币。

在多数情况下，攻击的发生是因为管理员使用了弱密码或易遭暴力攻击的密码，从而导致攻击者能够在受攻陷机器上站稳脚跟。

但事实并非总是如此。例如，Handy HQ 公司的资深安全工程师 Alexander Urioli 发布报告指出，其中一些攻击是因为 Kubernetes 复杂的配置选项造成的。

在调查同事 Kubernetes 实例的过程中，Urcioli 发现攻击者在未经认证的情况下在 Kubernetes 实例上运行命令，而这种情况本应该是不可能发生的。

他追踪了 Kubernetes 配置行为后发现，配置允许未经认证的用户将 API 命令发送给 Kubernetes 的 kubelet 组件。如果这个 kubelet 组件被暴露到网上那么黑客智能通过查询端点的方式通过挖矿机注入整个集群。

Urcioli 表示，“如果你的用户能够访问你的节点，那么 kubelet API 对于你的集群而言，就是一个完全未认证的 API 后门。”他还指出用户早在2014年和2015年就曾报告过这个认证问题。

攻击者并未停手。就在今天，研究员 Robbie Wiggins 发现了一个由48个节点组成的集群，两名黑客正在里面因抢夺服务器资源而斗争。

总之，这些攻击者只是更大趋势的一部分。这个大趋势在去年当勒索攻击发展放缓而攻击者开始转向密币挖掘时就已初现端倪。

过去，几乎所有的已知技术（数据库、浏览器、CMS、CRM等）都曾遭遇攻击。因此之前就曾预料到，黑客会转向云运行隐藏的密币挖掘脚本。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。