Docker Container เป็นเทคโนโลยีที่ที่ไหนก็ใช้ในปัจจุบัน เพราะง่ายต่อการ implement และ maintain ยิ่งมีประโยชน์ก็ยิ่งมีโอกาสถูกนำมาใช้ในการโจมตี
Docker team พบว่ามี 17 docker container image ที่ถูกฝัง backdoor และลง cryptocurrency miner (XMRig-Monero) ไว้ตั้งแต่เมื่อปีก่อน (ตั้งแต่พค. 2017) ซึ่งสืบเนื่องด้วย Docker images ใหม่นั้นจะไม่ได้มีการตรวจสอบมาก่อน ทำให้สามารถ upload ขึ้นได้อย่างง่ายดี โดย 17 docker images นั้นถูก upload โดยบุคคล/group ที่ชื่อว่า “docker123321.” ซึ่งมีบาง package ถูกนำไปติดตั้งเป็นล้านครั้ง และอื่นๆก็อยู่ที่ประมาณ 1000-100 ครั้ง
การตรวจพบครั้งนี้หลังจากที่ user แจ้งว่าพบพฤติกรรมที่ผิดปกติใน cloud server ที่ใช้งาน Docker และ Kubernetes instances. ซึ่งทางผู้พบได้แจ้งไว้ใน GitHub และ Twitter.
บริษัท security และ researcher ทั้งหลายไม่ว่าจะเป็น Sysdig, Aqua Security, และ Alexander Urcioli ออก report เกี่ยวกับเรื่องนี้เช่นกัน (สามารถดู list ของ docker images ที่เป็น malicious ได้ตามด้านล่างครับ)
Name of image |
Creation timestamp |
|
docker123321/tomcat |
2017-07-25 04:53:28 |
1st bunch of malicious images |
docker123321/tomcat11 |
2017-08-22 08:38:48 |
|
docker123321/tomcat22 |
2017-08-22 08:58:35 |
|
docker123321/kk |
2017-10-13 18:56:22 |
2nd bunch of malicious images |
docker123321/mysql |
2017-10-24 01:49:42 |
|
docker123321/data |
2017-11-09 01:00:14 |
|
docker123321/mysql0 |
2017-12-12 18:32:22 |
|
docker123321/cron |
2018-01-05 11:33:04 |
3rd bunch of malicious images |
docker123321/cronm |
2018-01-05 11:33:04 |
|
docker123321/cronnn |
2018-01-12 02:06:11 |
|
docker123321/t1 |
2018-01-18 09:54:04 |
|
docker123321/t2 |
2018-01-19 09:41:46 |
|
docker123321/mysql2 |
2018-02-02 11:40:53 |
4th bunch of malicious images |
docker123321/mysql3 |
2018-02-02 18:52:00 |
|
docker123321/mysql4 |
2018-02-05 14:05:18 |
|
docker123321/mysql5 |
2018-02-05 14:05:18 |
|
docker123321/mysql6 |
2018-02-07 02:16:29 |
Docker image name |
Type of malware |
docker123321/tomcat docker123321/mysql2 docker123321/mysql3 docker123321/mysql4 docker123321/mysql5 docker123321/mysql6 |
Containers run Python Reverse Shell |
docker123321/tomcat11 |
Containers run Bash Reverse Shell |
docker123321/tomcat22 |
Containers add attacker’s SSH key |
docker123321/cron docker123321/cronnn docker123321/mysql docker123321/mysql0 docker123321/data docker123321/t1 docker123321/t2 |
Containers run embedded cryptocoinminers. (On condition that container runs, it will download a malicious .jpg file that runs in bash and exposes mining software.) |
docker123321/kk |
Containers run embedded crypto coin miners. (On condition that container runs, it will download a malicious .sh file that runs in bash and exposes mining software.) |
user ดังกล่าวกล่าวว่าพบว่าเครื่องดังกล่าวถูกนำไปขุดได้ Monero ได้ถึง 544.74 เหรียญ (ราคาประมาณ $90,000 ).
Source:: Github, BleepingComputer