針對Docker的惡意軟件和攻擊行為愈演愈烈

惡意軟件領(lǐng)域在 2017 年底發(fā)生了重大轉(zhuǎn)變。隨著基于云的技術(shù)的普及，一些網(wǎng)絡(luò)犯罪團伙也開始瞄準(zhǔn) Docker 和 Kubernetes 系統(tǒng)。這些攻擊大多遵循一個非常簡單的模式，即威脅行為者掃描配置錯誤的系統(tǒng)，并將這些系統(tǒng)的管理界面暴露在網(wǎng)上，以便接管服務(wù)器并部署加密貨幣挖礦惡意軟件。在過去的三年里，這些攻擊愈演愈烈，一些針對 Docker（和 Kubernetes）新型惡意軟件和攻擊行為變得層出不窮。

然而正如 ZDNet 所述，盡管惡意軟件對 Docker 服務(wù)器的攻擊已經(jīng)屢見不鮮，但很多網(wǎng)絡(luò)開發(fā)者和基礎(chǔ)架構(gòu)工程師卻還沒有吸取教訓(xùn)，仍在錯誤配置 Docker 服務(wù)器，使其暴露在攻擊之下。其中最常見的疏漏就是，讓 Docker 遠程管理 API 端點暴露在網(wǎng)上而不進行認(rèn)證。

過去幾年中，曾有 Doki、Ngrok、Kinsing（H2miner）、XORDDOS、AESDDOS、Team TNT 等惡意軟件掃描 Docker 服務(wù)器，將 Docker 管理 API 暴露在網(wǎng)上，然后濫用它來部署惡意操作系統(tǒng)鏡像、植入后門或安裝加密貨幣礦機。

上周，奇虎 360 則發(fā)現(xiàn)了這些惡意軟件的最新菌株，名為 Blackrota。這是一個用 Go 語言編寫的惡意后門程序，利用了 Docker Remote API 中未經(jīng)授權(quán)的訪問漏洞。鑒于其 C2 域名為 blackrota.ga，因此被命名為 Blackrota。

目前，該 Blackrota 后門程序僅被發(fā)現(xiàn)可用于 Linux，使用方式還尚未清楚。研究人員也不知道其是否存在 Windows 版本、是否被用于加密貨幣挖礦，或者是否被用于在強大的云服務(wù)器之上運行 DDoS 僵尸網(wǎng)絡(luò)。

從 Blackrota 和此前經(jīng)歷過的攻擊中得到的教訓(xùn)是，Docker 已不再是一項邊緣技術(shù)，其幾乎每天都在遭受有針對性的大規(guī)模攻擊。因此，建議在生產(chǎn)系統(tǒng)中運行 Docker 系統(tǒng)的公司、Web 開發(fā)人員和工程師仔細查看 Docker 官方文檔 ，確保已通過適當(dāng)?shù)纳矸蒡炞C機制（例如基于證書的身份驗證系統(tǒng)）保護了 Docker 的遠程管理功能。

總而言之，隨著 Docker 在現(xiàn)代基礎(chǔ)架構(gòu)設(shè)置中的地位越來越突出，且攻擊事件不斷增加，針對 Docker 系統(tǒng)的惡意軟件菌株數(shù)量也在逐月增加，開發(fā)者是時候該認(rèn)真對待 Docker 安全了。
責(zé)編AJX