恶意软件格局在2017年底发生了重大变化。随着基于云的技术的普及,一些网络犯罪团伙也开始针对Docker和Kubernetes系统。这些攻击中的大多数都遵循一种非常简单的模式,即威胁行为者扫描配置错误的系统并在线公开这些系统的管理界面,以便接管服务器并部署加密货币挖掘恶意软件。在过去三年中,这些攻击愈演愈烈,并且出现了几种针对Docker(和Kubernetes)的新型恶意软件和漏洞。然而,正如ZDNet所提到的,尽管针对Docker服务器的恶意软件攻击已经司空见惯,但许多Web开发人员和基础架构工程师并未吸取教训,仍在错误配置Docker服务器以使其遭受攻击。最常见的遗漏之一是在未经身份验证的情况下在线公开Docker远程管理API端点。近几年,Doki、Ngrok、Kinsing(H2miner)、XORDDOS、AESDDOS、TeamTNT等恶意软件扫描Docker服务器,将Docker管理API暴露在互联网上,然后滥用部署恶意操作系统镜像和植入后门或安装加密货币矿工。上周,奇虎360发现了这些恶意软件的最新变种,称为Blackrota。这是一个用Go语言编写的恶意后门,利用了DockerRemoteAPI中的未授权访问漏洞。鉴于其C2域名为blackrota.ga,故命名为Blackrota。目前,Blackrota后门仅被发现可用于Linux,使用方法尚不清楚。研究人员也不知道它是否存在于Windows中,用于加密货币挖掘,还是用于在功能强大的云服务器上运行DDoS僵尸网络。Blackrota和以往攻击的教训是,Docker不再是边缘技术,几乎每天都在成为大规模攻击的目标。因此,建议在生产系统中运行Docker系统的公司、Web开发人员和工程师仔细阅读Docker官方文档,以确保Docker的远程管理功能已通过适当的身份验证机制(例如基于证书的身份验证系统)得到保护。总而言之,随着Docker在现代基础设施设置中的日益突出以及针对Docker系统的恶意软件数量逐月增加,开发人员是时候认真对待Docker安全问题了。本文转自OSCHINA文章标题:Docker恶意软件泛滥,开发者需谨慎本文地址:https://www.oschina.net/news/122219/docker-malware-security
