Análisis de malware
Descripción general del malware: Graboid
noviembre por Daniel Dimov
Introducción
En octubre de, investigadores de seguridad de la Unidad 42 de Palo Alto Networks descubrieron un nuevo malware llamado Graboid. Es un malware de criptojacking que se propaga mediante el uso de contenedores en el motor Docker. Esta innovadora técnica de propagación hace que Graboid sea difícil de detectar porque la mayoría del software de protección de terminales no analiza los datos en los contenedores del motor Docker. Aunque la versión actual de Graboid no es muy sofisticada, tiene potencial para evolucionar hasta convertirse en un malware de criptojacking mucho más potente.
Este artículo explica cómo Graboid infecta otras computadoras, las actividades de criptojacking realizadas por Graboid y las medidas que las organizaciones pueden tomar para protegerse contra ellas.
Infección
Graboid se propaga a través de demonios acoplables no seguros. Más específicamente, ejecuta una imagen de Docker en un host comprometido. La imagen incluye una herramienta de cliente de Docker que puede comunicarse con otros hosts de Docker. Graboid descarga cuatro scripts, a saber, live.sh, worm.sh, cleanxmr.sh y xmr.sh. Ejecuta repetidamente cada uno de ellos en el mismo orden. Las consecuencias de ejecutar los scripts se examinarán con más detalle a continuación.
vivir.sh
Después de la ejecución de live.sh, el host comprometido envía información sobre la cantidad de unidades centrales de procesamiento (CPU) disponibles a los servidores de comando y control asociados con Graboid.
Gusano.sh
La ejecución del archivo worm.sh conlleva la descarga de un archivo llamado “IP”. Contiene una lista de más de direcciones IP de hosts con puntos finales de API de Docker no seguros. Una vez descargado el archivo, Graboid elige aleatoriamente una de las direcciones IP de la lista y utiliza la herramienta de cliente Docker para propagarse al host no seguro.
Cleanxmr.sh
cleanxmr.sh tiene una función bastante inesperada. Selecciona aleatoriamente uno de los hosts no seguros y detiene las actividades de criptojacking que ejecuta Graboid en ese host.
xmr.sh
xmr.sh tiene una función opuesta a cleanxmr.sh. Más concretamente, xmr.sh selecciona aleatoriamente uno de los hosts vulnerables del archivo IP antes mencionado e implementa Graboid en él.
La razón exacta del funcionamiento inusual de Graboid sigue siendo un misterio. Al respecto, los investigadores de la Unidad 42 de Palo Alto Networks señalaron que: “La motivación de este diseño aleatorio no está clara. Puede ser un mal diseño, una técnica de evasión (poco efectiva), un sistema autosostenible o algún otro propósito”. Los investigadores eligieron el nombre «Graboid» debido al funcionamiento intermitente del malware. El nombre hace referencia al gusano de arena de la película “Temblores”. Se mueve en breves ráfagas de velocidad, pero generalmente no es muy hábil.
Actividades de criptojacking
Una vez instalado en una computadora infectada, Graboid comienza a extraer tokens de Monero. Es probable que los estafadores hayan elegido Monero porque es más rápido y sencillo de extraer que Bitcoin. La investigación realizada por la Unidad 42 de Palo Alto Networks indicó que cada computadora infectada participa en operaciones mineras el 63% del tiempo y la duración de cada período de minería es de 250 segundos. El mismo informe de investigación ha demostrado que actualmente más de 2.000 motores Docker están expuestos de forma insegura. Si Graboid logra infectar todos esos motores acoplables, puede generar ingresos sustanciales para sus creadores. El equipo de investigación antimalware de Kaspersky Lab descubrió que una botnet de minería de criptomonedas de 5.000 máquinas puede aportar más de000 dólares a sus propietarios.
Prevenir una infección con Graboid
Las organizaciones dispuestas a prevenir una infección con Graboid deben asegurarse de que:
- Sus máquinas realizan comprobaciones frecuentes en busca de imágenes o contenedores de Docker desconocidos.
- Utilizan soluciones de seguridad en la nube que pueden identificar contenedores maliciosos del motor Docker.
- No se reciben imágenes de Docker de registros o espacios de nombres de usuarios desconocidos.
- El socket Unix se utiliza para comunicarse con un demonio acoplable localmente. Alternativamente, se puede utilizar un shell seguro (SSH) para conectarse a un demonio acoplable remoto.
- Ningún demonio acoplable está expuesto a Internet sin un mecanismo de autenticación adecuado. Cabe mencionar que el motor Docker (Community Edition) no está expuesto a Internet de forma predeterminada.
- Las reglas de firewall se utilizan para incluir el tráfico entrante en una lista blanca para una pequeña cantidad de fuentes.
Conclusión
Graboid es un malware bastante extraño, ya que su funcionalidad aleatoria es difícil de explicar. Sin embargo, no debe subestimarse. Sólo necesita 60 minutos para llegar a 1.400 hosts vulnerables. 900 de esos hosts infectados serán mineros activos en cualquier momento. Sin tomar las medidas de seguridad adecuadas, Graboid puede transformar organizaciones enteras en fábricas de criptomonedas. Además, Graboid puede descargar periódicamente nuevos scripts desde su centro de comando y control. Estos scripts pueden actualizar la funcionalidad del malware y hacerlo más peligroso e impredecible.
Cabe señalar que Graboid es sólo una de las muchas aplicaciones de malware de criptojacking. Las organizaciones que deseen garantizar un alto nivel de seguridad de la información deben contar con estrategias destinadas a prevenir y neutralizar todo tipo de malware de criptojacking. Esto es especialmente importante ya que es probable que la cantidad de ataques que utilizan este tipo de malware de cryptojacking aumente en el futuro. Sólo en, hubo un aumento del 34.000% en los ataques a la minería de monedas. Incluso los gobiernos de Australia, Estados Unidos y el Reino Unido, así como grandes empresas, como Starbucks y Tesla, se han visto comprometidos por el malware de criptojacking.
Referencias
- Arghire, I., »Graboid’ Crypto-Jacking Worm Targets Docker Hosts», Security Week , 16 de octubre de. Disponible en https://www.securityweek.com/graboid-crypto-jacking-worm-targets-docker-hosts .
- Attrill-Smith, A., Fullwood, C., Keep, M., Kuss, D., ‘ The Oxford Handbook of Cyberpsychology ‘, Oxford University Press,.
- Chen, J., ‘Graboid: First-Ever Cryptojacking Worm Found in Images on Docker Hub’, Palo Alto Networks, 16 de octubre de. Disponible en https://unit42.paloaltonetworks.com/graboid-first-ever-cryptojacking-worm -encontrado-en-imagenes-en-docker-hub/ .
- Coble, S., ‘A New Strain of Malware Is Terrorizing Docker Hosts’, Infosecurity Magazine , 19 de octubre de. Disponible en https://www.infosecurity-magazine.com/news/graboid-terrorizing-docker-hosts/ .
- Ilascu, I., ‘Hosts Docker no seguros atacados por el nuevo gusano Graboid Cryptojacking’, Bleeping Computer , 16 de octubre de. Disponible en https://www.bleepingcomputer.com/news/security/unsecured-docker-hosts-attacked-by- nuevo-gusano-criptojacking-graboid/ .
- Kaspersky Lab, Las botnets de minería están de vuelta: infectan miles de PC y generan cientos de miles de dólares para los delincuentes, 12 de septiembre de. Disponible en https://www.kaspersky.com/about/press-releases/_mining- Las botnets están volviendo a infectar miles de unidades .
- McDonough, B., ‘ Cyber Smart: cinco hábitos para proteger a su familia, su dinero y su identidad de los ciberdelincuentes ‘, John Wiley Sons,.