安全研究人员发现了一种无法检测到的Linux恶意软件，它利用未知的技术隐藏在监视范围内，并将目标锁定在托管通用云平台（包括AWS、Azure和阿里云）的可公开访问的Docker服务器上。当用户组织将更多的业务基础设施迁移到外部时，网络犯罪分子越来越受到启发，将目标锁定在Linux上构建的云环境，包括API端口配置错误的Docker服务器。虽然加密劫持方案包含了此类基于Linux的恶意软件攻击的一些更传统的变种，但研究人员刚刚发现了一种Docker容器攻击，该攻击分发恶意的"完全无法检测"后门，利用Dogecoin加密货币区块链动态生成C2域。什么是Docker服务器？Docker是一个平台，旨在促进使用容器的应用程序的开发、部署和运行。容器允许开发人员将应用程序作为一个程序集进行组装和部署，包括它所需的所有部分，例如库和其他依赖项。通过这一点，开发人员可以放心，多亏了容器，程序可以在其他每一台Linux机器上运行，而不管计算机可能有任何修改过的设置，这些设置可能与用于编写和检查代码的计算机不同。在某种程度上，Docker有点像一个虚拟机。但与虚拟机不同的是，Docker并没有构建完整的虚拟操作系统，而是允许应用程序使用与其正在运行的系统相同的Linux内核，并且只需要在应用程序中附带尚未在主机上运行的项。这大大提高了效率并减少了应用程序的大小。Docker服务器攻击该漏洞针对配置错误的容器化云环境。攻击者搜索并操纵公共可用的Docker API端口，以装载自己的容器，并在受害者的基础设施上执行恶意软件。在此攻击期间，攻击者生成并移除多个容器。在攻击过程中，任何一个容器都是基于阿尔卑斯卷曲创建的。图片可以在Docker网站上看到。图片并不是恶意的，但进行恶意行为是被利用的。Curl命令是通过使用包含Curl程序的映像在容器启动并运行时执行的。使用对公众开放的映像的好处是攻击者不需要将其隐藏在Docker hub或其他托管解决方案上。然后，攻击者可以使用现有的图像并在其上执行自己的逻辑和恶意软件。但是，如上所述，攻击者可以构建任何容器，使用容器转义方法从宿主计算机执行代码。该技术基于构建一个新容器，该容器通过发布"构建"API的请求来实现。应用程序体包括容器配置参数。其中一个参数是bind，它允许用户配置将哪个文件或目录装载到主机上的容器中。攻击期间创建的容器配置为将/tmpXXXXXX绑定到宿主服务器的根目录。它确保服务器文件系统上的任何文件都可以通过适当的用户权限从容器内部访问甚至更改。Ngrok提供从本地服务器到本地服务器的安全通信服务。攻击者利用Ngrok创建短暂的唯一url，并在攻击期间通过将其传输到基于curl的映像来访问有效负载。下载的有效负载存储在文件目录/tmpxxxxx中。使用附加配置，攻击者可以管理主机cron函数。攻击者修改主机的cron以每分钟执行下载的负载。我们观察到两种类型的有效负载：一种是用于网络扫描仪的脚本，另一种是用于下载程序的脚本。网络扫描程序使用zmap、zgrap和jq检查与Redis、Docker、SSH和HTTP相关的端口。脚本使用硬编码的IP地址范围列表，这些地址范围通常属于AWS等云服务器和国际地区的本地云提供商（我们见过来自中国、奥地利和英国的提供商），脚本收集信息并将其上载到另一个Ngrok URL。下载程序脚本负责下载和安装各种恶意软件二进制文件，这些二进制文件也是许多著名的加密工具之一。我们也可以完全发现未被发现的恶意软件的一部分。我们将此恶意软件称为Doki，在下一节中，我们将包括一个技术回顾。攻击者可以完全控制他生成的容器的设计以及落入容器中的文件。攻击者可以使用有效的API命令从他创建的容器中逃逸，并从服务器内部执行任何代码。增加目标实例Docker服务器攻击此外，虽然Doki恶意软件的C&C框架是聪明和创新的，但真正的挑战是对Docker服务器的无情攻击。在过去的几个月里，Docker服务器一直受到恶意软件运营商的攻击，尤其是加密挖掘团伙的攻击。在过去的几个月里，他们利用错误配置的加密软件为受害者安装了一个新的加密软件，以获取利润。AquaAlto研究包括两个结果。此外，网络安全公司Trend Micro还发布了一系列黑客攻击Docker服务器挂载DDoS恶意软件的攻击事件，这是黑客没有选择加密挖掘有效载荷的罕见案例。总而言之，这里的结论是，使用Docker作为其虚拟化云平台的企业需要确保管理接口的API不会暴露在互联网上——这是一个小小的错误配置，使第三方能够访问其Docker安装。保护你努力建设的东西的唯一方法就是在网络安全问题上保持警惕。如果您想了解更多关于您的企业如何从托管服务中获益的信息，请致电我们，我们随时为您提供帮助。无法检测的Linux恶意软件，目标是Docker服务器和暴露的API。。。躲在雷达下，瞄准可公开访问的Docker服务器主机。。