不安全的Docker守护进程中攻击者的策略和技术将Docker主机元数据暴露到Internet(主要是由于用户的疏忽),这项研究揭示了攻击者在受感染的Docker引擎中使用的一些策略和技术。在我们的研究过程中,总共发现了1,400个不安全的Docker主机、8,673个活动容器、17,927个Docker映像和15,229个卷。下图1显示了Docker守护进程的位置分布,图2显示了使用的Docker版本和操作系统类型。我们团队将情况告知Docker团队后,Docker团队迅速配合Unit42对恶意镜像进行了移除。图1:暴露的不安全Docker主机位置图2.不安全的Docker主机版本(左)和操作系统(右)在过去的几年中,容器技术获得了巨大的普及,并正在成为打包、交付的重要组成部分和主流方法用于部署新型应用程序。虽然该技术正在迅速发展和被采用,但它也是攻击者的重要目标。虽然大多数恶意活动涉及加密劫持(大多数情况下是门罗币挖矿),但一些受感染的Docker引擎被用来发起其他攻击或在主机上安装黑客程序。敏感信息,例如应用程序凭据和基础架构配置,也可以在暴露的日志中找到。我们经常看到的一个有趣的策略是,攻击者将整个主机文件系统挂载到一个容器上,并从该容器访问主机操作系统(OS)以对其进行读/写。我们将观察到的恶意活动分为以下四类:部署带有恶意代码的容器镜像。恶意图像首先被推送到公共注册表。然后将镜像拉取并部署到不安全的Docker主机上。部署良性容器镜像并在运行时下载恶意负载。已在Docker主机上部署良性映像。然后在良性容器中下载并执行恶意负载。在主机上部署恶意负载。攻击者会将整个主机文件系统挂载到容器上,然后从容器访问主机文件系统。从Docker日志中获取敏感信息。攻击者抓取Docker日志以获取敏感信息,例如凭据和配置信息。图3观察到的四种恶意活动结论本研究提供了攻击者用来破坏容器平台的策略和技术的第一手概览。我们不仅研究容器平台中的恶意活动,还研究检测和阻止此类活动所需的对策。由于大多数漏洞是由于不安全的Docker守护程序意外暴露于Internet造成的,因此一些有效缓解这些漏洞的防御策略包括:使用SSH连接到远程Docker守护进程仅允许列入白名单的客户端IP访问Docker服务器在Docker中启用内容信任以仅拉取已签名和经过验证的图像·扫描每个容器图像以查找漏洞和恶意代码。·部署运行时保护工具来监控正在运行的容器。如果您是PaloAltoNetworks的客户,您将受到保护:PrismaCloudVulnerabilityScanner检测易受攻击或恶意代码并在构建时阻止它们。PrismaCloudCompute在运行时持续监控容器和主机。本研究详情请查看英文原文内容:https://unit42.paloaltonetworks.com/attackers-tactics-and-techniques-in-unsecured-docker-daemons-revealed/
