趋势科技研究人员发现了网络犯罪分子用于在 Docker 远程 API 服务器上部署 SRBMiner 加密矿机的一种非常规新方法。这种攻击利用 h2c（明文 HTTP/2）上的 gRPC 协议来规避安全解决方案，并挖掘由 Ripple Labs 开发的 XRP 加密货币。

攻击开始时，威胁行为者会扫描易受攻击的 Docker API 服务器。一旦被发现，攻击者就会检查 Docker API 的可用性和版本，然后发送 gRPC/h2c 升级请求。据研究人员称，这一升级请求至关重要，因为它允许攻击者在不被发现的情况下远程操纵 Docker 功能。

一旦连接升级，攻击者就会利用 gRPC 方法执行文件同步、身份验证和 SSH 转发等任务。趋势科技的报告指出，“这些方法旨在促进 Docker 内的各种操作，包括健康检查、文件同步、身份验证、机密管理和 SSH 转发”。这些功能允许攻击者执行命令，就好像他们在直接管理服务器一样。

在建立控制权后，攻击者会部署 SRBMiner Cryptominer。具体方法是使用合法的基础镜像 debian:bookworm-slim 构建 Docker 镜像，并将矿工部署到 /usr/sbin 目录中。恶意软件从 GitHub 下载并解压到临时目录，然后开始加密挖掘过程。然后，威胁者会提供自己的瑞波钱包地址，以收集挖出的加密货币。

这种攻击特别令人担忧的原因之一是使用了 h2c 上的 gRPC 协议，这使得攻击者可以绕过安全层。通过使用这种方法，威胁者可以掩盖他们的活动，使安全工具难以检测到加密货币矿机的部署。攻击者还利用 Docker 的远程 API 功能隐秘地执行命令，确保持续挖矿。

这次攻击表明，网络犯罪分子的策略在不断演变，他们在继续寻找创新方法来利用 Docker 等容器化环境。正如研究人员所指出的，“Docker 等容器化平台在现代应用程序开发中发挥着重要作用，但如果不加以精心保护，其功能也可能成为安全隐患”。在这次攻击中，通过 HTTP/2 使用 gRPC 凸显了保护 Docker 远程 API 和监控异常活动的重要性。