Trendmicro研究人员最近发现,攻击者使用MetasploitFramework(MSF)有效载荷攻击暴露的DockerAPI。攻击可能导致DDoS攻击、远程代码执行漏洞和未经授权的加密货币挖掘活动。技术分析研究人员发现,攻击者在活动中使用“alpine:latest”作为基准容器镜像。Snyk无法检测图像中的安全漏洞。图1Snyk扫描alpine镜像的结果研究人员发现,最近针对容器蜜罐的大多数攻击都利用了知名且已建立的基线镜像。这样做的目的是绕过恶意软件检测和漏洞利用检测。容器以权限标志执行,这意味着负载具有root权限。图2.具有root权限的恶意容器部署图3.攻击者将恶意文件以命令形式编码为base64文本。有效载荷如图4所示。整个base64编码可用于将有效载荷压缩到非常小的尺寸。在对载荷进行解码后,研究人员得到了一个只有250字节的ELF文件。图4.对部署的250字节ELF文件负载的进一步分析表明,负载不是用高级编程语言实现的,而是用纯汇编代码实现的。此外,没有其他指令需要处理,这只需要一个非常小的base64编码来完成执行代码所需的工作。部署的有效负载首先分配一个4096字节的内存页面,其中包含保护标志“PROT_READ”、“PROT_WRITE”和“PROT_EXECUTE”。这些标志允许攻击者在内存区域内执行代码。图5.连接到C2服务器以执行恶意代码在系统内打开一个TCP套接字,然后发起到C2服务器的连接,这是通过硬编码的“sockaddr”结构实现的。图6.获取可执行shellcode“readsyscall”在打开的套接字描述符上执行,然后从C2服务器读取126个字节。这被保存在之前没有提到的分配的内存区域中,然后被执行。研究人员的分析表明,ELF文件是经过编译的Metasploitreverse_tcpshellcode。这是一个简单的x64ELF文件,其中攻击者IP和端口被硬编码在二进制文件中。虽然没有混淆,但目前在在线威胁平台上找不到该文件的哈希值。由于没有迹象表明这是MSF生成的reverse_tcp文件,因此研究人员创建了一个PoC文件,该文件可以伪造攻击者的假IP,并在安全环境中运行后门以获得反向shell。图7.使用带有虚假IP的MS生成反向连接图8.在安全容器环境中运行的后门图9.使用反向shell打开MSF会话结论暴露的DockerAPI越来越成为攻击者的目标,攻击者以root权限执行恶意代码通过攻击暴露的DockerAPI来攻击目标主机。在最近的活动中,研究人员还发现越来越多的静默攻击技术进入了威胁领域。本文翻译自:https://www.trendmicro.com/en_us/research/20/j/metasploit-shellcodes-attack-exposed-docker-apis.html如有转载请注明出处。
