自2019年以來，實施文件加密的網絡攻擊活動背后的黑客團伙逐漸浮出了水面。研究人員說，這些攻擊活動都利用了設備上配置錯誤的Docker APIs，這使得他們能夠獲得內部網絡的入口，并最終在被攻擊的主機上安裝后門，然后挖掘加密貨幣。

該攻擊技術是基于腳本進行的，該攻擊方式被稱為 "Autom"，因為它利用了文件 "autom.sh"。Aquasec研究部門在周三發表的一份報告中寫道，該攻擊活動在活躍時期時，攻擊者一直在濫用API的錯誤配置，但是其使用的規避策略各不相同。

研究人員說，自2019年以來，攻擊者對Nautilus團隊設置的蜜罐進行了84次攻擊，其中2019年有22次，2020年有58次，2021年在研究人員10月開始撰寫報告前有4次攻擊。研究人員還報告說，根據Shodan搜索，今年對蜜罐的攻擊數量明顯減少，但是針對配置錯誤的Docker API進行攻擊的整體趨勢并沒有減少。

他們寫道："對我們蜜罐的攻擊次數的減少，可能意味著攻擊者已經識別出來了他們，因此在2021年就減少了他們的攻擊量。"

研究人員說，雖然攻擊者在攻擊的載體中使用了相同的攻擊方式來實現他們的目的—對文件進行加密，這么多年以來攻擊的最大變化就是威脅者在不斷演化出新的規避檢測手法。

他們在報告中寫道："我們通過攻擊者的規避檢測的技術看到了攻擊團伙的技術進步。”

他們說，攻擊者自攻擊活動開始以來使用了五個不同的服務器來下載啟動攻擊的shell腳本。研究人員寫道："看來，網絡攻擊背后的團體已經提升了他們的攻擊技能，擴大了攻擊面來進行他們的攻擊"。

網絡攻擊分析

他們在報告中說，Nautilus團隊在2019年首次觀察到了這種攻擊，當時在運行一個植物的圖像時執行了一條惡意命令，該圖像下載了一個名為autom.sh的shell腳本。研究人員解釋說，攻擊者通常會使用該圖像和惡意命令來執行攻擊，因為大多數組織都信任這些圖像并允許使用它們。

他們寫道，攻擊者一貫使用相同的攻擊切入點，然后在一個遠程服務器上進行執行，搜索含有漏洞的主機，然后利用配置錯誤的Docker APIs進行攻擊。

然后他們運行vanilla鏡像和其他的惡意shell，通過這兩種方法創建一個用戶--adduser(通過設置賬戶的主文件夾和其他設置來添加用戶)和useradd(用于添加用戶的低級命令)，其用戶名字為akay。

由于新創建的用戶沒有特權，威脅者通過使用 "sudo "命令來提升權限，然后將其變成一個root用戶，授予無限的權限來運行任何sudoers文件。研究人員寫道，這改變了sudo在目標機器上的工作方式，基本上可以使攻擊者成為超級用戶。

然后，攻擊者會使用域名icanhazip[.com]獲得被攻擊主機的公共IP地址，并從服務器上刪除下載的文件。研究人員寫道，通過這一系列的操作，攻擊者成功安裝了一個后門，使得他們在被攻擊主機上獲得了權限的持久性，這樣可以隱蔽地挖掘加密貨幣。

規避安全檢查

研究人員說，雖然攻擊者自Autom開始攻擊活動以后，幾乎沒有改變他們入侵受害者機器并實現持久性的方式，但他們卻改變了兩件事--下載shell腳本autom.sh的服務器，以及具體的規避戰術。

對于后一點，Nautilus團隊觀察到該攻擊活動從2019年沒有使用隱藏其攻擊行為的技術發展到在接下來的兩年里增加了更為復雜的隱蔽戰術。

2020年，他們禁用了一些安全機制來確保其隱蔽性，包括ufw(非復雜防火墻)，它能夠允許或拒絕用戶對某項服務進行訪問，以及NMI(非屏蔽中斷)，它是最高優先級的中斷，通常發生在不可恢復的硬件錯誤信號中，還可以用于監測系統的復位。

研究人員說，今年，攻擊者還增加了一種新的攻擊技術，通過從遠程服務器下載一個混淆的shell腳本來隱藏加密攻擊活動。

他們寫道："他們對腳本進行了五次base64編碼，這樣可以防止安全工具讀取它并了解其背后的意圖。該腳本其實是用來挖礦的惡意腳本"。

研究人員補充說，在攻擊的過程中增加了其他的功能包括下載log_rotate.bin腳本，該腳本創建了一個新的cron 任務來啟動加密開采活動，該cron job將在被攻擊的主機上每55分鐘啟動一次。

他們指出："Autom的攻擊活動表明，攻擊者的攻擊方式正在變得越來越復雜，不斷的改進他們的攻擊技術來避免被安全解決方案發現的可能性。”

本文翻譯自：https://threatpost.com/cryptomining-attack-exploits-docker-api-misconfiguration-since-2019/177299/如若轉載，請注明原文地址。