歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

通過暴露的Docker API滲透容器:AESDDoS僵尸網絡惡意軟件分析

來源:本站整理 作者:佚名 時間:2019-07-02 TAG: 我要投稿

在當今的互聯網中,錯誤配置已經不是一個新鮮的話題。然而,網絡犯罪分子正持續將其作為一種行之有效的方式來獲取組織的計算機資源,并進而將其用于惡意目的,由此導致了一個非常值得關注的安全問題。在本篇文章中,我們將詳細介紹一種攻擊類型,其中流行的DevOps工具Docker Engine-Community的開源版本中存在一個API配置錯誤,允許攻擊者滲透容器,并運行惡意軟件變種。該變種源自Linux僵尸網絡惡意軟件AESDDoS,由我們部署的蜜罐捕獲,檢測為“Backdoor.Linux.DOFLOO.AA”。

在容器主機上運行的Docker API允許主機接收所有與容器相關的命令,以root權限運行的守護程序將會執行。無論是由于錯誤配置還是故意設置,允許外部訪問API接口將會導致攻擊者可以獲得主機的所有權,從而使得他們能夠利用惡意軟件感染在主機中運行的實例,并進一步獲得對用戶服務器和硬件資源的遠程訪問權限。此前,我們曾經發現過網絡犯罪分子對公開暴露的Docker主機進行利用,可能會在其中部署加密貨幣挖掘的惡意軟件。

參考閱讀:

容器安全——檢查對容器環境的潛在威脅

攻擊方法
在此次新型攻擊中,威脅行為者首先通過向2375端口發送TCP SYN數據包來對指定的IP范圍進行外部掃描,2375端口是與Docker守護進程進行通信的默認端口。一旦該掃描過程中識別出開放的端口,則會建立一個要求運行容器的連接。當其發現正在運行的容器時,會使用docker exec命令部署AESDDoS僵尸軟件,該命令允許通過Shell訪問公網暴露主機中所有符合要求的運行中容器。因此,惡意軟件將在已經運行的容器內執行,同時試圖隱藏其自身的存在。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺