Unit 42研究人員在Docker Hub中 發現了30個惡意映象，總下載量超過2000萬次，保守估計加密貨幣挖礦活動獲利20萬美元。

過去幾年裡，Unit 42研究人員發現有基於雲的加密貨幣挖礦攻擊活動，其中礦工透過Docker Hub中的映象進行部署。

雲平臺被用於加密貨幣挖礦攻擊的原因有：

·

雲平臺中包含有攻擊目標的例項，比如CPU、容器、虛擬機器等，每個例項被用來挖礦都可以帶來巨大的收益。

·

雲平臺很難監控。礦工可以長期執行而不被發現，而且沒有任何檢測機制，使用者只有在支付雲服務使用賬單時才可能會發現存在問題。

·

目前的雲技術主要是基於容器的，而Docker Hub是預設的容器註冊商。因此，攻擊者利用Docker Hub來在被入侵的雲端部署礦工。

研究人員對Docker Hub上的惡意挖礦映象進行分析，發現了來自10個不同Docker Hub賬戶的30個映象檔案，累計下次次數超過2000萬次。預計挖礦收益超過20萬美元。

Docker Hub中加密貨幣挖礦映象中的加密貨幣分佈如下所示：

其中門羅幣佔比90。3%，Grin佔比6。5%，Arionum佔比3。2%。

門羅幣是部署最多的加密貨幣挖礦機，攻擊者首選門羅幣的原因有：

·

門羅幣提供了最大的匿名性。門羅幣的交易是隱藏的，門羅幣的匿名和隱私性使得攻擊者的非法活動被隱藏。因此，很難追蹤其資金的流向。

·

門羅幣挖礦演算法傾向於CPU挖礦。與其他加密貨幣挖礦演算法需要ASIC或GPU進行挖礦不同的是，門羅幣挖礦演算法傾向於CPU挖礦。而所有的計算機都有CPU，因此礦工可以在任意一臺機器上部署和執行。

·

門羅幣是一款主流的加密數字貨幣。其交易量已經達到每天1億美元，因此攻擊者挖礦所得的門羅幣可以很快出手。

在進行門羅幣挖礦的攻擊活動中，攻擊者使用最多的XMRig。由於XMRig非常高效率、且容易使用、而且是開源的。因此攻擊者可以修改其程式碼。

研究發現有90%的攻擊活動中使用XMRig，剩餘10%使用Xmr-stack。

容器註冊商允許使用者升級其映象，並在這一過程中上傳一個新的標籤tag到註冊商處。Tag是一種對同一映象的不同版本進行標記的方法。研究人員在分析映象的tag時發現，一些映象對不同的CPU架構或作業系統有不同的tag。攻擊者這樣做的目的可能是適配不同作業系統和CPU架構的可能的受害者。

在部分映象中，研究人員還發現有不同型別加密貨幣挖礦機的tag。這樣，攻擊者就可以針對受害者的硬體來選擇最好的加密貨幣挖礦機。

在這些映象中研究人員發現同一個映象中的錢包地址和礦池憑證是相同的。在這些id的幫助下，研究人員成功地對每個攻擊活動進行了分類。研究人員進一步分析還發現有大量的Docker Hub賬戶是屬於同一攻擊活動的。比如，021982、dockerxmrig、ggcloud1 和 ggcloud2等賬戶。

研究人員分析發現Docker Hub中存在用於加密貨幣挖礦攻擊活動的惡意映象檔案，總下載超過2000萬次。其中主要進行門羅幣挖礦，保守估計加密貨幣挖礦活動獲利20萬美元。

參考及來源：https：//unit42。paloaltonetworks。com/malicious-cryptojacking-images/