近日，阿里云安全發現了一個使用未授權訪問漏洞部署惡意Docker鏡像進行挖礦的僵尸網絡團伙。我們給這一團伙取名為Xulu，因為該團伙使用這個字符串作為挖礦時的用戶名。

Xulu并不是第一個攻擊Docker的惡意挖礦團伙，但它不同于其他僵尸網絡。Xulu感染一臺服務器后，并不對外進行大規模掃描，而是使用OSINT技術，即利用開源情報，動態地從shodan網站獲得可能的“獵物”ip列表。

此外，Xulu僵尸網絡將自己的服務器放在Tor洋蔥網絡中，這使得對幕后黑手的追溯變得更加困難。

會挖礦的惡意Docker鏡像

Docker容器是一個開源的應用容器引擎，可以讓開發者打包他們的應用及依賴包到一個輕量級、可移植的容器中，從而在不同環境中可靠運行。

近年來隨著微服務的流行，越來越多的企業在部署應用時使用容器，然而在這一過程中安全往往沒有得到應有的重視，導致Docker容器在多起事件中成為網絡攻擊的靶子。

在本次Xulu僵尸網絡事件中，我們注意到淪陷服務器上都被創建了鏡像名為zoolu2/auto的惡意容器。

這些惡意容器中運行著如下進程

其中的挖礦進程很容易分辨：

/toolbin/darwin -o us-east.cryptonight-hub.miningpoolhub.com:20580 -u xulu.autodeploy -p x --currency monero -i 0 -c conf.txt -r復制代碼

盡管miningpoolhub.com是公開礦池，但由于它不提供每個用戶的歷史收益數據，我們無從得知攻擊者從惡意挖礦中總共賺了多少錢。

僵尸網絡的傳播和持久化

Xulu僵尸網絡進行自身的傳播和持久化的過程中，使用了OSINT技術并借助了洋蔥網絡。

首先，該僵尸網絡的控制服務器地址是wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion。".onion"后綴表明這是一個必須通過洋蔥匿名網絡訪問的“洋蔥服務”(又名“隱藏服務”)。

該僵尸網絡以/toolbin/shodaemon作為守護進程：

不難看出該腳本下載了wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/shodan.txt，與本地硬編碼的/toolbin/hcode.txt文件內容一起存入search.txt

運行/toolbin/shodan，讀取search.txt的列表并對shodan發送如上圖所示的查詢。

這些查詢會返回互聯網上一系列開放了Docker服務(2375端口)的主機ip。盡管這些主機并非每個都存在漏洞，但攻擊者仍然通過使用shodan的信息，避免了大規模掃描的進行。

在獲取了使用Docker服務的主機列表并去除重復ip后，已淪陷的主機會向表中ip發送docker run命令，其中未授權訪問漏洞的Docker服務將被部署"zoolu2/auto"惡意鏡像，從而完成蠕蟲的傳播。

此外，Xulu僵尸網絡還會每30分鐘下載并執行從wg6kw72fqds5n2q2x6qjejenrskg6i3dywe7xrcselhbeiikoxfrmnqd.onion/bnet1.txt下載的腳本，從而保持自身在受害主機上的活躍。

受害規模和安全建議

在docker hub官網我們可以看到，前文提到的"zoolu2/auto"已被下載超過1萬次：

并且僵尸網絡作者似乎仍在積極開發變種：

• 為了避免您成為此種惡意入侵和挖礦事件的受害者，阿里云安全為您提供如下安全建議：
• 不要將對內使用的服務(如Docker)開放在互聯網上，應使用ACL或復雜密碼等措施來保證僅有受到信任的用戶才可以訪問這些服務。
• 因為基于洋蔥網絡的“隱藏服務”已被用于多個僵尸網絡的傳播，不常使用洋蔥網絡服務的用戶可以使用如下命令對其進行屏蔽：echo -e "n0.0.0.0 .onion" >> /etc/hosts
• 我們推薦您使用阿里云下一代防火墻，因為它在阻止、攔截此類需要外聯的攻擊時十分有效。用戶將在AI技術的幫助下，免于惡意挖礦事件的困擾
• 我們同樣推薦阿里云安全管家服務。該服務的用戶可以就碰到的問題隨時咨詢安全專家。安全專家還可以幫助用戶進行安全加固、事件溯源、蠕蟲清理等

原文鏈接

本文為云棲社區原創內容，未經允許不得轉載。

轉載于:https://juejin.im/post/5ce793ace51d4556da53d026

總結

以上是生活随笔為你收集整理的现代IM系统中的消息系统架构 - 模型篇的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。