该蠕虫采用了随机传播的方法。文末附相关IOC。

Docker成为了加密劫持蠕虫Graboid目标，该蠕虫是刚刚被发现并命名的。

根据Unit 42的研究人员称，该蠕虫旨在挖掘Monero加密货币，到目前为止，已经感染了2,000多台不安全的Docker引擎（社区版）主机，这些主机正在清理中。

根据Unit 42的数据，最初的恶意Docker镜像已被下载了10,000次以上，蠕虫自身已被下载了6,500多次。管理员可以通过镜像创建历史记录，查找名为“ gakeaws / nginx”的镜像来发现感染。

攻击者通过不安全的Docker daemons获得了最初的立足点，该daemons首先安装了Docker镜像以在受感染的主机上运行。另外，攻击者无需任何身份验证或授权，即可完全控制Docker 引擎和主机。攻击者利用此入口点来部署和传播蠕虫。

一旦恶意Docker容器启动并运行，它将从15个C2服务器中的一个下载四个不同的脚本以及易受感染的主机列表。然后，它随机选择三个目标，将蠕虫安装在第一个目标上，在第二个受感染主机上停止安装挖矿，并在第三个也已被感染的目标上启动挖矿。

研究人员解释说：“这一程序导致了非常随机的挖矿行为。” “如果我的主机受到威胁，则恶意容器不会立即启动。取而代之的是，我必须等到另一位受到感染的主机选择我并开始我的挖掘过程。其他受到感染的主机也可以随机停止我的挖掘过程。本质上，每台受感染主机上的挖矿均由所有其他受感染主机随机控制。这种随机设计的动机尚不清楚。”

以下是更详细的分步操作：

1. 攻击者选择了一个不安全的Docker主机作为目标，并发送远程命令来下载和部署恶意Docker镜像pocosow / centos：7.6.1810。该镜像包含用于与其他Docker主机进行通信的Docker 客户端工具。

2. pocosow / centos容器中的入口点脚本/ var / sbin / bash从C2下载4个shell脚本，并一一执行。下载的脚本为live.sh，worm.sh，cleanxmr.sh和xmr.sh。

3. live.sh将受感染主机上的可用CPU数量发送到C2。

4. worm.sh下载文件“ IP”，其中包含2000多个IP的列表。这些IP是具有不安全docker API端点的主机。worm.sh随机选择一个IP作为目标，并使用docker客户端工具远程拉动和部署pocosow / centos容器。

5. cleanxmr.sh从IP文件中随机选择一个易受攻击的主机，然后停止目标上的cryptojacking容器。cleanxmr.sh不仅会停止蠕虫部署的密码劫持容器（gakeaws / nginx），而且还会停止其他基于xmrig的容器（如果它们正在运行）。

6. xmr.sh从IP文件中随机选择一个易受攻击的主机，然后在目标主机上部署镜像gakeaws / nginx。gakeaws / nginx包含伪装成nginx的xmrig二进制文件。

在每个受感染的主机上定期重复执行步骤1至步骤6。上一次已知的刷新间隔设置为100秒。启动pocosow / centos容器后，刷新间隔，shell脚本和IP文件都从C2下载。

在使用2000个潜在受害者池中的蠕虫进行模拟时，研究人员发现，蠕虫可以在一个小时内传播到1400个易受攻击主机中的70％。此外，每个矿工有63％的时间处于活动状态，每个挖矿期持续250秒；因此，在模拟中，在受攻击的1400个主机群集中，平均有900个矿工始终保持活跃。

虽然这种加密劫持蠕虫不涉及复杂的策略，技术或过程，但该蠕虫可以定期从C2提取新脚本，因此它可以轻松地将其自身重新用于勒索软件或任何恶意软件，以完全破坏主机，所以这不应被忽略。如果创建了一种更强大的蠕虫来采用类似的渗透方法，则可能造成更大的破坏，因此使用者必须保护其Docker主机。

以下是使用者可以防止受到攻击的措施：

1. 如果没有适当的身份验证机制，切勿将docker daemons暴露在互联网。请注意，默认情况下，Docker Engine不会暴露于互联网。

2. 使用Unix套接字在本地与Docker daemons进行通信，或者使用SSH连接到远程Docker daemons。

3. 切勿从未知注册表或未知用户名称空间中提取Docker镜像。

4. 经常检查系统中是否有未知的容器或镜像。

IOC

Docker 镜像:

pocosow/centos:7.6.1810:

sha256:6560ddfd4b9af2c87b48ad98d93c56fbf1d7c507763e99b3d25a4d998c3f77cf

gakeaws/nginx:8.9:

sha256:4827767b9383215053abe6688e82981b5fbeba5d9d40070876eb7948fb73dedb

gakeaws/mysql:

sha256:15319b6ca1840ec2aa69ea4f41d89cdf086029e3bcab15deaaf7a85854774881

C2服务器：

120.27.32[.]15

103.248.164[.]38

101.161.223[.]254

61.18.240[.]160

182.16.102[.]97

47.111.96[.]197

106.53.85[.]204

116.62.48[.]5

114.67.68[.]52

118.24.222[.]18

106.13.127[.]6

129.211.98[.]236

101.37.245[.]200

106.75.96[.]126

47.107.191[.]137