来自网络安全公司的研究人员呼吁开发者加强Docker远程API服务器的安全性和监控,因恶意攻击者正在利用这些系统安装Linux恶意软件和加密货币挖矿程序。
在两份报告中,研究人员详细描述了最近的攻击事件,攻击者利用这些漏洞安装了perfctl恶意软件或SRBMiner加密货币挖矿程序,表明恶意攻击者正在加大力度,利用这些服务器的安全漏洞。
暴露的Docker远程API服务器的利用已经达到一个临界水平,企业和其安全专业人员必须引起高度重视,避免此类事件的第一步是理解威胁攻击者可能采用的攻击过程。至关重要的是,确保每个组织的Docker远程API服务器都得到加固,并定期监控未经授权的访问和可疑活动,以降低攻击风险,同时确保安全补丁是最新的。
报告表示,安装perfctl的攻击始于攻击者对易受攻击的Docker远程API服务器进行探测。Perfctl是一种持久性、多用途的后门,已知可部署加密劫持恶意软件(即使用受害者的计算资源进行加密货币挖矿)和代理劫持(即黑客不仅盗取计算资源,还盗用未使用的带宽进行恶意活动)。
一旦发现易受攻击的系统,黑客会创建一个Docker容器,并通过给容器起一个类似合法容器的名字,使其能够在特权模式下运行。同时,他们还将容器配置为“与主机上的进程共享相同的PID命名空间。这样,容器中的进程就能像主机上的所有进程一样,看到并与主机上所有进程进行交互。”
双重恶意载荷
该容器通过Docker Exec API执行双重恶意载荷,第一部分尝试逃脱容器,第二部分包含一个Base64编码的Shell脚本,检查并防止重复进程,然后创建一个包含一系列命令的Bash脚本。
该恶意软件还采用了逃避检测的技术,包括检查相似的进程,创建目录和自定义功能来下载文件。
这并不是perfctl首次在攻击中被使用的报告。研究人员在本月初表示,他们已发现该恶意软件利用超过20,000种配置错误和未被检测的漏洞,针对Linux系统进行攻击,持续了三到四年。
他们警告称,连接到互联网的Linux服务器处于风险之中,并补充道:“鉴于攻击规模,我们强烈认为攻击者已针对全球数百万目标,潜在的受害者数量达数千人,似乎这种恶意软件可以威胁到任何Linux服务器。”
加密货币挖矿
在第二份报告中,可以看出,恶意攻击者正针对Docker远程API服务器,部署SRBMiner来挖掘XRP加密货币,使用gRPC协议(一个通过HTTP 2.0传输数据和实现API的框架)通过h2c(HTTP/2 over TCP)来绕过安全防护,运行加密挖矿操作。
尽管Docker的远程API对希望远程管理容器、镜像和卷的开发者非常方便,但“如果远程API服务器配置不当并暴露于互联网,也会带来安全风险,这可能导致安全漏洞和恶意攻击者的利用”。
启用前需深思熟虑
研究人员认为组织在默认启用远程API之前应深思熟虑。
如果你不确定是否需要此功能,最安全的做法是禁用它,在这种情况下(涉及perfctl的攻击),研究人员能够通过容器逃逸从单一的docker容器转到主机,但如果在不使用时禁用管理API,漏洞就完全可以避免。
所有管理API都具有高权限,能够随意创建和修改资源。
你必须确保使用强身份验证和授权,确保不仅只有有效凭证的人员能够访问管理控制台,而且他们具有正确的权限,这使得你可以轻松撤销访问权限。但如果用户凭证泄露,及时拥有日志记录和监控Docker exec也至关重要,这样你就能知道何时创建和使用了新的容器。
行动清单
研究人员还列出了需要采取的其他步骤,包括实施强有力的访问控制和身份验证机制,定期监控远程API服务器的异常活动,并实施强有力的安全实践,如避免使用“特权”模式,部署前审查容器镜像和配置。
其他建议包括不以root权限运行容器,定期进行安全审计,并保持Docker及相关软件的安全更新和补丁,以防止已知漏洞的攻击。
