Kiss-a-dogでマイニング

Kiss-a-dogはクリプトジャッキングキャンペーンです。
暗号資産を勝手にマイニングします。

• 侵入経路
  公開されたDockerから侵入します。
  DockerそのままのものやKubernetesで管理された環境がターゲットになっています。

   

• 侵入方法
  攻撃者はDiamorphineおよびlibprocesshideルートキットを使用します。
  これらは現地でコンパイルされてその環境のkernelモジュールとして読み込まれます。
  Dockerコンテナはコンテナですのでkernelはホスト側のものを使っています。
  こうなってしまうとコンテナの中に納まって活動させることのできる状態ではなくなります。
  そしてDockerコンテナが使用しているホストマウントを使用してコンテナの外での活動を開始します。

   

• 目的はマイニング
  脱出してコンテナの外に出てきました。
  すでにルートキットも設置済みなのでプロセスを隠すこともできます。
  XMRigを設置し、XMRigを動作させるためのサービスを設置してマイニングを開始します。

   

• 横展開
  侵入環境では他のツールも利用されます。
  masscan、pnscan、zgrab などのネットワークスキャナです。
  これらで発見を試みられているのは脆弱なDockerやRedisサーバーインスタンスです。
  侵入先の資源を使用して感染範囲を拡大します。

侵入先の人のクリックなどを必要としない攻撃です。
こういったものに対抗するためには環境を妥当な状態に保つことが必要です。

Dockerに限らず、安全化に使用できる技法はあくまでも技法です。
その安全の前提となっている要素を全体的に想定通りの状態に保つことができていない場合、安全は手に入りません。
○○があるから大丈夫、とはならないということのようです。

参考記事（外部リンク）：New Cryptojacking Campaign Kiss-a-dog Targeting Docker and
Kubernetes
www.hackread.com/cryptojacking-kiss-a-dog-targeting-docker-kubernetes/