Daten und Aktivitäten innerhalb von Containern werden meistens nicht von herkömmlichen Endpunktschutz-Softwareprodukte überprüft. Palo Alto Netwoks warnt deshalb vor diesen bösartigen Aktivitäten, die schwer zu erkennen sind. Durch ungesicherte Docker-Daemons hat der Akteur erstmals Fuß gefasst. Die Malware, die von Command-and-Control-Servern heruntergeladen wurde, ist für das Monero-Mining vorgesehen und stellt regelmäßig Anfragen nach neuen verwundbaren Hosts. Sie wählt dann zufällig das nächste Ziel aus, um den Wurm zu verbreiten.
Bedrohung sollte ernstgenommen werden
Der Cryptojacking-Wurm weist keine besonders ausgeklügelten Taktiken, Techniken oder Verfahren auf. Jedoch zeiht er sich regelmäßig neue Skripte aus den Command-and-Control-Servern. So kann er sich leicht in Ransomware oder Malware verwandeln. Diese Bedrohung sollte daher ernstgenommen werden. Deswegen ist es für Unternehmen unerlässlich, ihre Docker-Hosts zu schützen.
So können sich Unternehmen schützen
-
Untenehmen sollten einen Docker-Daemon niemals ohne einen geeigneten Authentifizierungsmechanismus dem Internet aussetzen
-
Unix-Socket wird empfohlen, um mit dem Docker-Daemon lokal zu kommunizieren
-
Firewall-Regeln sollten verwendet werden, um den eingehenden Datenverkehr auf eine Whitelist für eine kleine Anzahl von Quellen zu setzen
-
Niemals sollten Docker-Images aus unbekannten Registrierungsstellen oder unbekannten Benutzernamensräumen gezogen werden
-
System regelmäßig auf unbekannte Container oder Images überprüfen
-
Cloud-Sicherheitslösungen wie Prisma Cloud oder Twistlock können bösartige Container identifizieren und Cryptojacking-Aktivitäten verhindern