پژوهشگران آزمایشگاه تالوس (شرکت سیسکو) یک بات‌نت ارزکاو مونرو کشف کرده و آن را Xanthe نام‌گذاری کردند. این بات‌نت APIهای داکر که به طور ناامن پیکربندی شده‌اند را هدف می‌گیرد و بدین وسیله سیستم‌های لینوکسی را آلوده می‌کند.

زانتی (Xanthe) از یک بات‌نت چندماژوله استفاده می‌کند و پیلود آن، گونه‌ای از نرم‌افزار ارزکاو XMRig است که برای استخراج مونرو استفاده می‌شود. این بات‌نت با استفاده از HTTP API داکر، روی ماشین هدف یک کانتینر می‌سازد و بدافزار را روی آن اجرا می‌کند. به گفته محققان این بدافزار از ترفندهای مختلفی برای پخش شدن در سطح شبکه استفاده می‌کند، به عنوان مثال گواهی‌های (certificates) سمت کلاینت را جمع‌آوری می‌کند تا به از طریق SSH به هاست‌های شناخته شده نفوذ کند.

دو محقق تالوس وانیا شوایتزر و آدام پریجن (Vanja Svajcer and Adam Pridgen) در یک پست وبلاگی می‌نویسند: «ما معتقدیم این اولین بار است که کسی عملیات زانتی را مستندسازی می‌کند. فرد پشت بدافزار همه ماژول‌ها را به طور فعال نگهداری می‌کند و از مارچ امسال فعال بوده است». این محققان یک سامانه تله عسل راه‌اندازی کرده بودند تا تهدیدات داکری را کشف کنند و زانتی را وقتی کشف کردند که به این سامانه حمله کرده بود. البته آنها نمی‌دانند این بات‌نت تا به حال چه قدر ارز جمع‌آوری کرده است.

شوایتزر می‌گوید: «ارزکاوان معمولاً به دنبال اهداف پرتعداد هستند که اغلب به معنی سیستم‌های دسکتاپی ویندوز است، اما با رشد محیط‌های ابری، هاست‌های بیشتر و بیشتری در اینترنت خواهند بود که لینوکسی هستند و در معرض حملات قرار دارند و به اندازه سیستم‌های درون سازمانی ویندوزی، امن نیستند. زانتی نشان می‌دهد که سیستم‌های غیر ویندوزی اهداف کاملاً جذابی برای عوامل بدخواه هستند».

زانتی که اسمش از نام فایل اصلی پخش‌کننده بدافزار گرفته شده است، از یک اسکریپت دانلودر اولیه به اسم pop.sh استفاده می‌کند تا ماژول اصلی بات یعنی xanthe.sh را دانلود و اجرا کند. این ماژول نیز به نوبه خود چهار ماژول دیگر را دانلود و اجرا می‌کند که وظیفه آنها جلوگیری از تشخیص و حفظ ماندگاری بدافزار است.

این چهار ماژول عبارت اند از یک ماژول مخفی کننده پردازه (libprocesshider.so)، یک اسکریپت شل برای غیرفعال کردن سایر ارزکاوها و سرویس‌های امنیتی (xesa.txt)، یک اسکریپت شل برای حذف کانتینرهای رقیبی که روی آنها بدافزار ارزکاو اجرا می‌شود (fczyo) و فایل باینری ارزکاو XMRig (به همراه فایل پیکربندی config.json).

پس از دانلود، ماژول اصلی وظیفه پخش کردن بدافزار روی شبکه‌های محلی و راه دور را دارد. برای گسترش به هاست‌های شناخته شده گواهی‌های سمت کلاینت را دانلود می‌کند و بدون نیاز به گذرواژه به آنها وصل می‌شود. زانتی IP خارجی هاست آلوده را با استفاده از icanhazip.com پیدا می‌کند و به دنبال گواهی‌های سمت کلاینت می‌گردد که برای اتصال به هاست‌های راه دور استفاده می‌شوند. علاوه بر آن به دنبال سایر کلیدهای SSH می‌گردد.

«وقتی همه کلیدهای احتمالی پیدا شدند اسکریپت به دنبال هاست‌های شناخته شده، پورت‌های TCP و نام‌های کاربری مورد استفاده در اتصال به آن هاست‌ها می‌گردد.» در انتها اسکریپت وارد یک حلقه می‌شود که همه ترکیبات نام‌های کاربری، هاست‌ها، کلیدها و پورت‌ها را پیمایش می‌کند و سعی می‌کند به هاست‌های راه دور وصل شده و ماژول اصلی را روی آنها دانلود و اجرا کند.

سرورهای داکر با پیکربندی نامناسب، راه دیگری برای گسترش زانتی هستند. کاملاً محتمل است که نصب‌های داکر دچار پیکربندی بد باشند و سرویس داکر با حداقل امنیت در معرض شبکه‌های خارجی قرار بگیرد. «نصب [داکر] به طور پیش‌فرض امن نیست و ممکن است API آن به راحتی در دسترس مهاجمینی قرار بگیرد که به دنبال منابع «مجانی» هستند تا بتوانند کانتینرهای مخصوص خود را اجرا و حملات را راه‌اندازی کنند».

منابع: تالوس و threatpost