Ein Wurm wühlt sich durch Docker-Container

17. Oktober 2019, 11:26
  • security
  • docker
image

Unit42, das Security-Forschungsteam von Palo Alto Networks, --https://unit42.

Unit42, das Security-Forschungsteam von Palo Alto Networks, warnt vor einem Wurm, der ungesicherte Docker-Hosts infizieren kann. Von dort aus kann er selbstständig weitere verwundbare Hosts suchen und diese infizieren.
Der von Unit42 "Graboid" genannte Wurm missbraucht seine Hosts zum Mining der Kryptowährung Monero. Dies sei das erste Mal, so Unit42, dass man einen Cryptojacking-Wurm gefunden habe, der Container und die Docker Engine (Community Edition) verwende, um sich weiterzuverbreiten.
Die meisten herkömmlichen Endpunktschutz-Softwareprodukte, so Palo Alto, würden keine Daten und Aktivitäten innerhalb von Containern prüfen.
Die Angreifer hätten zuerst einen ungesicherten Docker-Daemon übernommen. Dieser wurde dann angewiesen, das Docker-Image "pocosow/centos" von Docker Hub herunterzuladen und zu installieren. Dieses Image sorgt dann für die automatische Weiterverbreitung der Malware. Es wählt aus einer Liste von rund 2000 ungesicherten Hosts zufällig eine IP-Adresse aus, infiziert den dortigen Docker-Daemon wiederum "pocosow/centos" herunterzuladen und das Spiel beginnt von vorne. Gleichzeitig wird ein weiteres Docker Image geladen (gakeaws/nginx), das eine Malware enthält, welche das Cryptomining durchführt.
Das von den Palo-Alto-Forschern informierte Docker-Team habe sofort kooperiert und die Malware-Images aus Docker Hub eliminiert. Trotzdem warnt Palo Alto Networks Unternehmen dringend davor, ihre Docker-Hosts ungesichert zu lassen und gibt hierzu einige Empfehlungen ab.
Hier diese Empfehlungen:
- Setzen Sie einen Docker-Daemon niemals ohne einen geeigneten Authentifizierungsmechanismus dem Internet aus. Beachten Sie, dass die Docker Engine (CE) standardmässig nicht dem Internet ausgesetzt ist.
- Nutzen Sie Unix-Socket, um mit dem Docker-Daemon lokal zu kommunizieren, oder SSH, um sich mit einem entfernten Docker-Daemon zu verbinden.
- Verwenden Sie Firewall-Regeln, um den eingehenden Datenverkehr auf eine Whitelist für eine kleine Anzahl von Quellen zu setzen.
- Beziehen Sie niemals Docker-Images aus unbekannten Registrierungsstellen oder unbekannten Benutzernamensräumen.
- Überprüfen Sie ihr System regelmässig auf unbekannte Container oder Images.
Und es gibt auch Cloud-Security-Lösungen, welche bösartige Container identifizieren und Cryptojacking-Aktivitäten verhindern können. Zwei davon, Sie ahnen es vielleicht bereits, stammen von Palo Alto Networks. (hjm)

Loading

Mehr zum Thema

image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022
image

Deutschland testet Warnsystem Cell Broadcast

Die Schweiz spricht seit einem Jahr davon – passiert ist allerdings noch nichts. Andere EU-Staaten haben das System schon produktiv im Einsatz.

publiziert am 7.12.2022
image

Studie: Cyber-Erpressung dominiert die Bedrohungslandschaft

Laut dem "Security Navigator 2023" sind KMU und die Fertigungsindustrie am häufigsten betroffen.

publiziert am 6.12.2022
image

Spital muss nach Cyber­angriff Patienten verlegen

Ein Cyberangriff stellt den Betrieb in einem französischen Kranken­haus auf den Kopf. Operationen mussten abgesagt werden und es wurde zusätzliches Personal benötigt.

publiziert am 6.12.2022