利用 Docker API 服务器进行 SRBMiner 加密挖矿攻击

1.简介

• Docker API 服务器
  • Docker API 服务器是指 Docker 引擎提供的一组 RESTful API，这些 API 使得开发者可以通过编程接口来管理 Docker 容器和镜像。
  • Docker API 服务器通常指的是 Docker 引擎的守护进程部分，它监听来自客户端的请求，并根据请求执行相应的操作。通过 Docker API，你可以与 Docker 引擎进行交互，实现自动化部署、容器管理等功能。
• SRBMiner
  • SRBMiner 是一种加密货币挖矿软件，最初设计用于挖掘 Monero（XMR）等加密货币。然而，SRBMiner 也经常被恶意软件作者滥用，成为非法挖矿活动的一部分，即所谓的“加密劫持”（Cryptojacking）。
  • 加密劫持是一种未经授权使用他人计算资源来挖掘加密货币的行为。这种行为通常通过恶意软件或脚本来实现，使得攻击者能够在受害者不知情的情况下利用其计算机的处理器（CPU）、图形处理器（GPU）或其他计算资源来挖掘加密货币。

2.描述

• 攻击者首先检查 Docker API 的可用性和版本，然后继续请求 gRPC/h2c 升级和 gRPC 方法来操纵 Docker 功能。
  • gRPC 是一个高性能、开源的远程过程调用（Remote Procedure Call, RPC）框架
  • h2c 是 HTTP/2 的一种非加密版本，即 cleartext（明文）版本。HTTP/2 是 HTTP 协议的下一代版本
  • 请求 gRPC/h2c 升级：在 gRPC 中，请求升级（Upgrade Request）通常指的是从 HTTP/1.1 升级到 HTTP/2
• 服务器处理连接升级请求后，将发送“/moby.buildkit.v1.Control/Solve”gRPC 请求以创建容器，然后使用它通过 GitHub 上托管的 SRBMiner 有效负载挖掘 XRP 加密货币。
• 攻击者利用暴露的 Docker 远程 API 服务器来部署 perfctl 恶意软件。该活动需要探测此类服务器，然后使用映像“ubuntu：mantic-20240405”创建 Docker 容器并执行 Base64 编码的有效负载。
  • perfctl 恶意软件：是一种专门针对 Linux 服务器的恶意软件，它利用了大量已知漏洞和错误配置的 Linux 服务器进行攻击
• shell 脚本除了检查和终止自身的重复实例外，还会创建一个 bash 脚本，该脚本反过来又包含另一个 Base64 编码的有效负载，该有效负载负责下载伪装成 PHP 文件（“avatar.php”）的恶意二进制文件，并提供名为 httpd 的有效负载
  • Base64 编码：
    • 在恶意软件或攻击中，Base64 编码常常被用来绕过某些安全过滤机制，例如，将恶意代码或有效负载编码为 Base64 字符串，然后在目标系统上解码执行。这种方法可以使得恶意代码看起来像是无害的文本数据，从而逃避一些简单的检测机制。
    • Base64 编码还可以用于混淆恶意代码，使其更难被人类阅读和理解。即使没有加密，Base64 编码后的字符串也难以直接解读，增加了分析的难度。
    • 在一些恶意软件中，Base64 编码可以用来存储和恢复持久性机制所需的数据，如后门或rootkit的配置信息
  • httpd 的有效负载：用于和httpd服务器进行数据交互，有效载荷就是请求/响应的请求体。