不安全的Docker守护程序中攻击者的策略与技术
在2019年9月至2019年12月之间,Palo Alto Networks (派拓网络)威胁情报团队Unit 42的研究人员定期扫描并收集了暴露于互联网的Docker主机元数据(很大程度上是由于用户无意造成的),这项研究揭示了攻击者在受感染的Docker引擎中使用的一些策略与技术。在我们的研究中,总共发现了1,400个不安全的Docker主机、8,673个活跃容器、17,927个Docker镜像和15,229个卷。下图1显示了Docker守护进程的位置分布,图2则为使用的Docker版本和操作系统类型。我们的团队通知Docker团队该情况后,Docker团队立即与Unit 42一起快速合作以删除恶意镜像。
图1:暴露的不安全Docker主机位置
图2.不安全的Docker主机版本(左)和操作系统(右)
在过去几年中,容器技术获得了极大的普及,并且正在成为包装、交付和部署新型应用的主流方法。尽管该技术正在迅速发展并被采用,但与此同时也成为攻击者的重要目标。
尽管大多数恶意活动都涉及挖矿劫持(大多数情况下是针对门罗币的挖掘),但一些受感染的Docker引擎却被用来发起其他攻击或在主机上安装黑客程序。还可以从公开的日志中找到敏感信息,例如应用凭证和基础设施配置。我们经常看到的一种有趣的策略是,攻击者将整个主机文件系统安装到一个容器上,并从该容器访问主机操作系统(OS)以对其进行读取/写入。
我们将观察到的恶意活动划分为以下四个类别:
使用恶意代码部署容器镜像。
恶意镜像首先被推送到公共注册表。然后拉取镜像并部署在不安全的Docker主机上。
部署良性容器镜像并在运行时下载恶意有效负载。
良性镜像已部署在Docker主机上。然后在良性容器内下载并执行恶意的有效负载。
在主机上部署恶意负载。
攻击者会将整个主机文件系统安装到一个容器上,然后从该容器访问主机文件系统。
从Docker日志中获取敏感信息。
攻击者会抓取Docker日志以查找敏感信息,例如凭证和配置信息。
图3 观察到的四种恶意活动
结论
本研究针对攻击者在破坏容器平台时使用的策略和技术提供了第一手的一般性观点。我们不仅研究了容器平台中的恶意活动,还研究了检测和阻止这些活动所需的对策。由于大多数漏洞是由不安全的Docker守护进程意外暴露于互联网引起的,因此,一些有效缓解这些漏洞的防御策略包括:
· 在Docker守护进程socket上配置TLS时,始终强制进行双向身份验证
· 使用Unix socket在本地与Docker守护进程通信,或使用SSH连接到远程Docker守护进程
· 仅允许白名单里的客户端IP访问Docker服务器
· 在Docker中启用内容信任,以便仅拉取经过签名和验证的镜像
· 扫描每个容器镜像中的漏洞和恶意代码。
· 部署运行时间保护工具以监测正在运行的容器。
如果您是Palo Alto Networks(派拓网络)客户,将得到以下保护:
Prisma Cloud漏洞扫描程序可以检测易受攻击的或恶意的代码,并在构建时将其阻止。
Prisma Cloud Compute在运行时间持续监测容器和主机。
有关本次研究的细节,敬请查看英文原版内容:https://unit42.paloaltonetworks.com/attackers-tactics-and-techniques-in-unsecured-docker-daemons-revealed/
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
亚信安全发布《亚信安全2019年度威胁回顾及预测》报告
在疫情肆虐的今天,远程办公已经成为普遍的工作方式。当你落座家中,与各地同事沟通协作无间时,有没有想过,当你点开邮件里面的“视频会议参加链接”,或者打开一封来自相关部门的煞有架势的邮件时,很可能会发现,电脑运行速度莫名其妙地变得缓慢,或者出现了要求缴纳赎金的“通知”……,这可能表示勒索病毒或是挖矿病毒已经侵入你的电脑设备。 随着我们开启又一个十年新纪元,网络安全也随之过渡到新的时代。不断演变的攻击方式,和更多变的威胁态势,需要我们有能力“御”其变,更能主动“预”其变。 近期亚信安全正式发布了《亚信安全2019年度安全威胁回顾及预测》,总结了2019年的安全态势,更对2020的安全趋势进行了预测与分析。报告显示,勒索病毒和挖矿病毒的肆虐将从2019年持续到2020年,此外有组织的APT入侵仍在加剧,而新兴的“无文件”攻击防御也越发严峻。 勒索病毒:更少、但更强 GANDCRAB(侠盗)、Maze(迷宫)、Paradise(天堂)……这些略显文艺范儿的名字很容易让大家心生亲近之感,但实际上,他们的真实身份却是2019 年十大勒索病毒的成员。从总体来看,这些勒索病毒的数量在2019年的大部分时...
- 下一篇
OpenLiteSpeed – 开源版轻量高性能 WebServer 更新至 1.6.8
OpenLiteSpeed Web Server OpenLiteSpeed 是 LiteSpeed EnterPrise 的社区版本,相较 Nginx 很多扩展如 Brotli、nginx-cache-purge 等扩展,会因为更新的不及时导致对最新Stable版本的不支持,同时也没有企业级的保障。 而 OpenLiteSpeed 的组件有官方进行主要维护和更新,提供商用企业级的体验。 在性能上,LiteSpeed Tech 提供的 BenchMark 中,在 WordPress、Joomla、OpenCart、ModSecurity、小型静态文件、HTTP/2、HTTP/3 的测试上都比 Apache HTTPD 和 Nginx 有这更好的表现,这不仅仅是跑个 Hello World 而是进行一个完整的测试。 OLS 1.6.8 发布日期:2020-02-10 下载地址 预编译二进制包: https://openlitespeed.org/packages/openlitespeed-1.6.8.tgz 源码包: https://openlitespeed.org/packages...
相关文章
文章评论
共有0条评论来说两句吧...