暴露的Docker API仍可被利用进行加密劫持攻击

暴露的Docker API现在仍可被攻击者利用来创建执行加密攻击的新容器。

Docker容器部署在名为Docker Engine的平台上,并与部署到系统的其他容器一起在后台运行。 如果Docker Engine没有得到妥善的保护,攻击者可以远程利用Docker Engine API来部署自己创建的容器,并在不安全的系统上启动它们。

最近,趋势科技发现一名攻击者正在扫描暴露的Docker Engine API并利用它们来部署容器,下载并执行挖矿恶意程序CoinMiner。

部署并激活容器后,它将启动auto.sh脚本,该脚本将下载Monero挖矿程序并将其配置为自动启动。 该脚本还将下载端口扫描软件,该软件将扫描端口2375和2376上其他易受攻击的Docker Engine平台,并尝试进一步传递到这些平台上。

对于开放端口2375和2376,扫描从主机看到的所有网络,扫描速率为每秒50,000个数据包; 结果保存在local.txt(匿名/ defanged):

masscan “$@” -p2375,2376 –rate=50000 -oG local.txt;  

通过感染或滥用先前侦察中发现的更多主机进行内网漫游:

sudo sed -i ‘s/^Host: \([0-9.]*\).*Ports: \([0-9]*\).*$/\1:\2/g’ local.txt;
sudo sh test3.sh local.txt;

使用这种方法,攻击者可以操控大量的Docker Engine容器进行挖矿。

 

加固Docker Engine服务器

Docker Engine API滥用存在已久,这一问题仍未解决,因为有的管理员没有正确加固其系统。 为防止攻击者利用不安全的Docker Engine发动恶意行为,趋势科技建议管理员采取以下安全措施:

加强安全态势。 互联网安全中心(CIS)帮助系统管理员和安全团队建立一个基准来保护他们的Docker引擎。

确保对容器镜像进行身份验证、签名,确保容器镜像来自受信任的注册表(受Docker信任的注册表)。 使用自动镜像扫描工具帮助加快发现系统脆弱性。

实施最小权限原则。 例如,限制对守护进程的访问并对连接到网络的通信协议进行加密。 Docker有关于如何保护守护进程socket的指南。

正确配置容器允许使用的资源量(控制组和命名空间)。

启用Docker的内置安全功能,以帮助抵御威胁。 Docker有几个关于如何安全地配置基于Docker的应用程序的指南。

 

原文链接:

https://www.bleepingcomputer.com/news/security/exposed-docker-apis-continue-to-be-used-for-cryptojacking/

发表评论