Graboid

大多数加密劫持蠕虫都是通过torrent，恶意广告活动，虚假下载和其他流行方法传播的。但是，一些网络骗子选择利用更具创造性的感染媒介。 Graboid密码劫持蠕虫就是这种情况。 Graboid蠕虫的作者正在使用不安全的容器（在这种情况下为Docker）传播此威胁。

大多数受害者位于中国

该密码劫持蠕虫的创建者未针对特定人群或特定行业或企业类型。但是，大多数Graboid蠕虫的受害者都位于中国。迄今为止，已经确定可能有10,000多名受害者。 Graboid加密劫持蠕虫的目的是感染系统并劫持其资源以开采Monero加密货币。

默认情况下，Docker没有打开端口以通过Internet进行远程访问。因此，可能是因为那些感染了Graboid蠕虫的用户错误地配置了该应用程序，从而让他们自己敞开心怀。

如何进行攻击

入侵系统后，蠕虫将下载几个具有特定目的功能的bash脚本，并采取措施确保蠕虫的行为是真正随机的。 Graboid蠕虫部署的第一个文件包含一个列表，该列表包含容易受到攻击并可能受到威胁的IP地址。向Graboid密码劫持蠕虫的操作员提供了有关受害者系统（特别是CPU）的信息。这可以通过使用“ live.sh”脚本来完成。另一个名为“ cleanxmr.sh”的脚本负责选择“ worm.sh”文件中列出的一个易受攻击的IP地址。接下来，蠕虫会寻找受感染机器上可能存在的任何其他加密矿软件或其他潜在的加密劫持者（未链接到Graboid蠕虫）。如果检测到任何病毒，则Graboid蠕虫将确保停止其活动，以确保没有其他应用程序在收获CPU资源。在最后一步中，名为“ xmr.sh”的脚本在主机上植入了Monero挖掘模块。

恶意软件分析人员无法确定为什么这种加密劫持蠕虫的创建者将挖掘活动的间隔随机化，因为这种方法没有明显的优点。相反，它会对矿工的效率产生负面影响。

但是，很明显，为什么攻击者选择通过Docker容器传播Graboid蠕虫。这不是一个未知的方法，网络骗子倾向于选择这种方法，因为防病毒软件通常会给像Docker这样的容器提供“空白”。希望将来，反恶意软件解决方案在处理容器时会更加警惕。