暴露的Docker API仍可被利用進行加密劫持攻擊
責編:gltian |2018-10-31 13:21:20暴露的Docker API現(xiàn)在仍可被攻擊者利用來創(chuàng)建執(zhí)行加密攻擊的新容器。
Docker容器部署在名為Docker Engine的平臺上,并與部署到系統(tǒng)的其他容器一起在后臺運行。 如果Docker Engine沒有得到妥善的保護,攻擊者可以遠程利用Docker Engine API來部署自己創(chuàng)建的容器,并在不安全的系統(tǒng)上啟動它們。
最近,趨勢科技發(fā)現(xiàn)一名攻擊者正在掃描暴露的Docker Engine API并利用它們來部署容器,下載并執(zhí)行挖礦惡意程序CoinMiner。
部署并激活容器后,它將啟動auto.sh腳本,該腳本將下載Monero挖礦程序并將其配置為自動啟動。 該腳本還將下載端口掃描軟件,該軟件將掃描端口2375和2376上其他易受攻擊的Docker Engine平臺,并嘗試進一步傳遞到這些平臺上。
對于開放端口2375和2376,掃描從主機看到的所有網(wǎng)絡(luò),掃描速率為每秒50,000個數(shù)據(jù)包; 結(jié)果保存在local.txt(匿名/ defanged):
masscan “$@” -p2375,2376 –rate=50000 -oG local.txt;
通過感染或濫用先前偵察中發(fā)現(xiàn)的更多主機進行內(nèi)網(wǎng)漫游:
sudo sed -i ‘s/^Host: \([0-9.]*\).*Ports: \([0-9]*\).*$/\1:\2/g’ local.txt;
sudo sh test3.sh local.txt;
使用這種方法,攻擊者可以操控大量的Docker Engine容器進行挖礦。
加固Docker Engine服務器
Docker Engine API濫用存在已久,這一問題仍未解決,因為有的管理員沒有正確加固其系統(tǒng)。 為防止攻擊者利用不安全的Docker Engine發(fā)動惡意行為,趨勢科技建議管理員采取以下安全措施:
加強安全態(tài)勢。 互聯(lián)網(wǎng)安全中心(CIS)幫助系統(tǒng)管理員和安全團隊建立一個基準來保護他們的Docker引擎。
確保對容器鏡像進行身份驗證、簽名,確保容器鏡像來自受信任的注冊表(受Docker信任的注冊表)。 使用自動鏡像掃描工具幫助加快發(fā)現(xiàn)系統(tǒng)脆弱性。
實施最小權(quán)限原則。 例如,限制對守護進程的訪問并對連接到網(wǎng)絡(luò)的通信協(xié)議進行加密。 Docker有關(guān)于如何保護守護進程socket的指南。
正確配置容器允許使用的資源量(控制組和命名空間)。
啟用Docker的內(nèi)置安全功能,以幫助抵御威脅。 Docker有幾個關(guān)于如何安全地配置基于Docker的應用程序的指南。
原文鏈接:https://www.bleepingcomputer.com/news/security/exposed-docker-apis-continue-to-be-used-for-cryptojacking/
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧