針對(duì)Docker的惡意軟件和攻擊行為愈演愈烈

惡意軟件領(lǐng)域在 2017 年底發(fā)生了重大轉(zhuǎn)變。隨著基于云的技術(shù)的普及，一些網(wǎng)絡(luò)犯罪團(tuán)伙也開始瞄準(zhǔn) Docker 和 Kubernetes 系統(tǒng)。這些攻擊大多遵循一個(gè)非常簡(jiǎn)單的模式，即威脅行為者掃描配置錯(cuò)誤的系統(tǒng)，并將這些系統(tǒng)的管理界面暴露在網(wǎng)上，以便接管服務(wù)器并部署加密貨幣挖礦惡意軟件。在過去的三年里，這些攻擊愈演愈烈，一些針對(duì) Docker（和 Kubernetes）新型惡意軟件和攻擊行為變得層出不窮。

然而正如 ZDNet 所述，盡管惡意軟件對(duì) Docker 服務(wù)器的攻擊已經(jīng)屢見不鮮，但很多網(wǎng)絡(luò)開發(fā)者和基礎(chǔ)架構(gòu)工程師卻還沒有吸取教訓(xùn)，仍在錯(cuò)誤配置 Docker 服務(wù)器，使其暴露在攻擊之下。其中最常見的疏漏就是，讓 Docker 遠(yuǎn)程管理 API 端點(diǎn)暴露在網(wǎng)上而不進(jìn)行認(rèn)證。

過去幾年中，曾有 Doki、Ngrok、Kinsing（H2miner）、XORDDOS、AESDDOS、Team TNT 等惡意軟件掃描 Docker 服務(wù)器，將 Docker 管理 API 暴露在網(wǎng)上，然后濫用它來部署惡意操作系統(tǒng)鏡像、植入后門或安裝加密貨幣礦機(jī)。

上周，奇虎 360 則發(fā)現(xiàn)了這些惡意軟件的最新菌株，名為 Blackrota。這是一個(gè)用 Go 語言編寫的惡意后門程序，利用了 Docker Remote API 中未經(jīng)授權(quán)的訪問漏洞。鑒于其 C2 域名為 blackrota.ga，因此被命名為 Blackrota。

目前，該 Blackrota 后門程序僅被發(fā)現(xiàn)可用于 Linux，使用方式還尚未清楚。研究人員也不知道其是否存在 Windows 版本、是否被用于加密貨幣挖礦，或者是否被用于在強(qiáng)大的云服務(wù)器之上運(yùn)行 DDoS 僵尸網(wǎng)絡(luò)。

從 Blackrota 和此前經(jīng)歷過的攻擊中得到的教訓(xùn)是，Docker 已不再是一項(xiàng)邊緣技術(shù)，其幾乎每天都在遭受有針對(duì)性的大規(guī)模攻擊。因此，建議在生產(chǎn)系統(tǒng)中運(yùn)行 Docker 系統(tǒng)的公司、Web 開發(fā)人員和工程師仔細(xì)查看 Docker 官方文檔 ，確保已通過適當(dāng)?shù)纳矸蒡?yàn)證機(jī)制（例如基于證書的身份驗(yàn)證系統(tǒng)）保護(hù)了 Docker 的遠(yuǎn)程管理功能。

總而言之，隨著 Docker 在現(xiàn)代基礎(chǔ)架構(gòu)設(shè)置中的地位越來越突出，且攻擊事件不斷增加，針對(duì) Docker 系統(tǒng)的惡意軟件菌株數(shù)量也在逐月增加，開發(fā)者是時(shí)候該認(rèn)真對(duì)待 Docker 安全了。
責(zé)編AJX