據(jù)趨勢科技研究人員稱，一個未知的攻擊者正在濫用暴露的 Docker Remote API 服務器，在受害者的系統(tǒng)上部署 perfctl 加密惡意軟件。

趨勢科技的高級威脅研究員蘇尼爾-巴蒂（Sunil Bharti）告訴《The Register》，他所在團隊的蜜罐在潛在騙子部署了 perfctl 之后捕獲了兩次此類嘗試。本月早些時候，Aqua 安全研究人員曾警告說，這款惡意軟件的目標可能是數(shù)百萬人，受害者數(shù)以千計，并宣稱 “任何 Linux 服務器都可能面臨風險”。

因此，最好現(xiàn)在就加固 Docker Remote API 服務器，因為 Trend 警告說，利用這些未受保護的服務器的行為已經(jīng) “達到了一個嚴重的程度，需要企業(yè)及其安全專業(yè)人員認真對待”。

今年早些時候，這家安全商店發(fā)現(xiàn)了一個類似的加密劫持攻擊活動，該活動也濫用了暴露的 Docker Remote API 服務器，并且自 2024 年開始一直處于活躍狀態(tài)。

在較新的攻擊中，犯罪分子也是通過這些連接互聯(lián)網(wǎng)的服務器獲得初始訪問權限，然后從ubuntu:mantic-20240405基礎鏡像中創(chuàng)建一個容器。它使用特定設置在特權模式和 pid 模式：host 下運行，以確保容器共享主機系統(tǒng)的進程 ID（PID）命名空間。

研究人員 Sunil Bharti 和 Ranga Duraisamy 寫道：“這意味著容器內(nèi)運行的進程將與主機上的進程共享相同的 PID 命名空間?！?/p>

“因此，容器的進程將能夠以與所有運行進程相同的方式查看主機系統(tǒng)上運行的所有進程并與之交互，就像它們直接在主機上運行一樣?！?/p>

然后，不法分子使用 Docker Exec API 執(zhí)行一個由兩部分組成的有效載荷。第一部分使用 nsenter 命令逃離容器。該命令以root身份運行，允許攻擊者在不同的命名空間（如目標的掛載、UTS、IPC、網(wǎng)絡和PID）中執(zhí)行程序，這使其 “具有類似于在主機系統(tǒng)中運行的能力”。

有效載荷的第二部分包含一個 Base64 編碼的 shell 腳本，用于檢查和防止重復進程，并創(chuàng)建一個 bash 腳本。安裝完成后，它會創(chuàng)建一個自定義的__curl函數(shù)，在系統(tǒng)中沒有curl或wget時使用，如果架構(gòu)不是x86-64，它就會自終止，檢查并確認惡意進程的存在，并使用端口44870或63582查找活動的TCP連接。如果確定惡意軟件沒有運行，它會下載偽裝成 PHP 擴展的惡意二進制文件，以避免被檢測到。

惡意軟件還會使用一個回退函數(shù)來實現(xiàn)持久性，然后部署一個最終的 Base64 有效載荷，其中包括一個殺死進程的命令，采取其他步驟繞過檢測，并建立一個持久性后門–讓攻擊者可以長期訪問被入侵的機器。

為避免成為 perfctl 的下一個受害者，趨勢公司團隊建議實施強大的訪問控制和身份驗證，并監(jiān)控 Docker Remote API 服務器的任何異常行為。

不言而喻，要定期打補丁，定期進行安全審計，并遵循容器安全最佳實踐，如盡可能不使用 “特權 ”模式，并在部署前審查容器鏡像和配置。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/