威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟

迷南。 2022-01-12 23:25 96阅读 0赞

近日，阿里云安全发现了一个使用未授权访问漏洞部署恶意Docker镜像进行挖矿的僵尸网络团伙。我们给这一团伙取名为Xulu，因为该团伙使用这个字符串作为挖矿时的用户名。

Xulu并不是第一个\*\*\*Docker的恶意挖矿团伙，但它不同于其他僵尸网络。Xulu感染一台服务器后，并不对外进行大规模扫描，而是使用OSINT技术，即利用开源情报，动态地从shodan网站获得可能的“猎物”ip列表。

此外，Xulu僵尸网络将自己的服务器放在Tor洋葱网络中，这使得对幕后黑手的追溯变得更加困难。

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web]

会挖矿的恶意Docker镜像  
Docker容器是一个开源的应用容器引擎，可以让开发者打包他们的应用及依赖包到一个轻量级、可移植的容器中，从而在不同环境中可靠运行。

近年来随着微服务的流行，越来越多的企业在部署应用时使用容器，然而在这一过程中安全往往没有得到应有的重视，导致Docker容器在多起事件中成为网络\*\*\*的靶子。

在本次Xulu僵尸网络事件中，我们注意到沦陷服务器上都被创建了镜像名为zoolu2/auto的恶意容器。

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 1]

这些恶意容器中运行着如下进程

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 2]

其中的挖矿进程很容易分辨：

/toolbin/darwin -o us-east.cryptonight-hub.miningpoolhub.com:20580 -u xulu.autodeploy -p x --currency monero -i 0 -c conf.txt -r  
尽管miningpoolhub.com是公开矿池，但由于它不提供每个用户的历史收益数据，我们无从得知\*\*\*者从恶意挖矿中总共赚了多少钱。

僵尸网络的传播和持久化  
Xulu僵尸网络进行自身的传播和持久化的过程中，使用了OSINT技术并借助了洋葱网络。

首先，该僵尸网络的控制服务器地址是http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion。".onion"后缀表明这是一个必须通过洋葱匿名网络访问的“洋葱服务”(又名“隐藏服务”)。

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 3]

该僵尸网络以/toolbin/shodaemon作为守护进程：

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 4]

不难看出该脚本下载了http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt，与本地硬编码的/toolbin/hcode.txt文件内容一起存入search.txt

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 5]  
![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 6]

运行/toolbin/shodan，读取search.txt的列表并对shodan发送如上图所示的查询。

这些查询会返回互联网上一系列开放了Docker服务(2375端口)的主机ip。尽管这些主机并非每个都存在漏洞，但\*\*\*者仍然通过使用shodan的信息，避免了大规模扫描的进行。

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 7]

在获取了使用Docker服务的主机列表并去除重复ip后，已沦陷的主机会向表中ip发送docker run命令，其中未授权访问漏洞的Docker服务将被部署"zoolu2/auto"恶意镜像，从而完成蠕虫的传播。

此外，Xulu僵尸网络还会每30分钟下载并执行从http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt下载的脚本，从而保持自身在受害主机上的活跃。

受害规模和安全建议  
在docker hub官网我们可以看到，前文提到的"zoolu2/auto"已被下载超过1万次：

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 8]

并且僵尸网络作者似乎仍在积极开发变种：

![威胁快报|新兴挖矿团伙借助shodan作恶，非web应用安全再鸣警钟][shodan_web 9]

为了避免您成为此种恶意\*\*\*和挖矿事件的受害者，阿里云安全为您提供如下安全建议：  
不要将对内使用的服务(如Docker)开放在互联网上，应使用ACL或复杂密码等措施来保证仅有受到信任的用户才可以访问这些服务。  
因为基于洋葱网络的“隐藏服务”已被用于多个僵尸网络的传播，不常使用洋葱网络服务的用户可以使用如下命令对其进行屏蔽：echo -e "n0.0.0.0 .onion" >> /etc/hosts  
我们推荐您使用阿里云下一代防火墙，因为它在阻止、拦截此类需要外联的\*\*\*时十分有效。用户将在AI技术的帮助下，免于恶意挖矿事件的困扰  
我们同样推荐阿里云安全管家服务。该服务的用户可以就碰到的问题随时咨询安全专家。安全专家还可以帮助用户进行安全加固、事件溯源、蠕虫清理等  
IOC  
control server:

[http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion][http_wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion]

url:

[http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt][http_wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion_bnet1.txt]  
[http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt][http_wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion_shodan.txt]

pool:  
us-east.cryptonight-hub.miningpoolhub.com:20580

md5:

c29dfe75862b6aed91bec4ffc7b20b9c

Reference  
[https://www.alibabacloud.com/blog/dockerkiller-threat-analysis-first-instance-of-batch-attack-and-exploitation-of-docker-services\_593947][https_www.alibabacloud.com_blog_dockerkiller-threat-analysis-first-instance-of-batch-attack-and-exploitation-of-docker-services_593947]  
[https://www.docker.com/resources/what-container][https_www.docker.com_resources_what-container]

转载于:https://blog.51cto.com/14031893/2399701

[shodan_web]: https://s1.51cto.com/images/blog/201905/24/9f7191cd434f043d876ddb424d3d3d6c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 1]: https://s1.51cto.com/images/blog/201905/24/5d0c8be302f05cf08cd05d6c01f363ee.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 2]: https://s1.51cto.com/images/blog/201905/24/b077fb3535c937b7bcd03eaab3896cc7.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 3]: https://s1.51cto.com/images/blog/201905/24/9adc5d2c64d9e43c1583af9965defccf.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 4]: https://s1.51cto.com/images/blog/201905/24/c5f748f4e75dff0fae49c4701b9e5013.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 5]: https://s1.51cto.com/images/blog/201905/24/7ca23105e17813dc6c6854cbba43d75e.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 6]: https://s1.51cto.com/images/blog/201905/24/f43234d47930f06af90bc7afb83c7e05.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 7]: https://s1.51cto.com/images/blog/201905/24/78a0aacd2c30c8f6fad482bd16fc6844.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 8]: https://s1.51cto.com/images/blog/201905/24/c6cefef2d42b6df4fd94009b7bf7f407.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[shodan_web 9]: https://s1.51cto.com/images/blog/201905/24/201a5cb6963266ca8cdc025b249b650c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=
[http_wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion]: http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion
[http_wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion_bnet1.txt]: http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt
[http_wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion_shodan.txt]: http://wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt
[https_www.alibabacloud.com_blog_dockerkiller-threat-analysis-first-instance-of-batch-attack-and-exploitation-of-docker-services_593947]: https://www.alibabacloud.com/blog/dockerkiller-threat-analysis-first-instance-of-batch-attack-and-exploitation-of-docker-services_593947
[https_www.docker.com_resources_what-container]: https://www.docker.com/resources/what-container