聲明：該文章來自（安全客）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

據(jù)趨勢(shì)科技研究人員稱，一個(gè)未知的攻擊者正在濫用暴露的 Docker Remote API 服務(wù)器，在受害者的系統(tǒng)上部署 perfctl 加密惡意軟件。

趨勢(shì)科技的高級(jí)威脅研究員蘇尼爾-巴蒂（Sunil Bharti）告訴《The Register》，他所在團(tuán)隊(duì)的蜜罐在潛在騙子部署了 perfctl 之后捕獲了兩次此類嘗試。本月早些時(shí)候，Aqua 安全研究人員曾警告說，這款惡意軟件的目標(biāo)可能是數(shù)百萬人，受害者數(shù)以千計(jì)，并宣稱 “任何 Linux 服務(wù)器都可能面臨風(fēng)險(xiǎn)”。

因此，最好現(xiàn)在就加固 Docker Remote API 服務(wù)器，因?yàn)?Trend 警告說，利用這些未受保護(hù)的服務(wù)器的行為已經(jīng) “達(dá)到了一個(gè)嚴(yán)重的程度，需要企業(yè)及其安全專業(yè)人員認(rèn)真對(duì)待”。

今年早些時(shí)候，這家安全商店發(fā)現(xiàn)了一個(gè)類似的加密劫持攻擊活動(dòng)，該活動(dòng)也濫用了暴露的 Docker Remote API 服務(wù)器，并且自 2024 年開始一直處于活躍狀態(tài)。

在較新的攻擊中，犯罪分子也是通過這些連接互聯(lián)網(wǎng)的服務(wù)器獲得初始訪問權(quán)限，然后從ubuntu:mantic-20240405基礎(chǔ)鏡像中創(chuàng)建一個(gè)容器。它使用特定設(shè)置在特權(quán)模式和 pid 模式：host 下運(yùn)行，以確保容器共享主機(jī)系統(tǒng)的進(jìn)程 ID（PID）命名空間。

研究人員 Sunil Bharti 和 Ranga Duraisamy 寫道：“這意味著容器內(nèi)運(yùn)行的進(jìn)程將與主機(jī)上的進(jìn)程共享相同的 PID 命名空間?！?/p>

“因此，容器的進(jìn)程將能夠以與所有運(yùn)行進(jìn)程相同的方式查看主機(jī)系統(tǒng)上運(yùn)行的所有進(jìn)程并與之交互，就像它們直接在主機(jī)上運(yùn)行一樣?！?/p>

然后，不法分子使用 Docker Exec API 執(zhí)行一個(gè)由兩部分組成的有效載荷。第一部分使用 nsenter 命令逃離容器。該命令以root身份運(yùn)行，允許攻擊者在不同的命名空間（如目標(biāo)的掛載、UTS、IPC、網(wǎng)絡(luò)和PID）中執(zhí)行程序，這使其 “具有類似于在主機(jī)系統(tǒng)中運(yùn)行的能力”。

有效載荷的第二部分包含一個(gè) Base64 編碼的 shell 腳本，用于檢查和防止重復(fù)進(jìn)程，并創(chuàng)建一個(gè) bash 腳本。安裝完成后，它會(huì)創(chuàng)建一個(gè)自定義的__curl函數(shù)，在系統(tǒng)中沒有curl或wget時(shí)使用，如果架構(gòu)不是x86-64，它就會(huì)自終止，檢查并確認(rèn)惡意進(jìn)程的存在，并使用端口44870或63582查找活動(dòng)的TCP連接。如果確定惡意軟件沒有運(yùn)行，它會(huì)下載偽裝成 PHP 擴(kuò)展的惡意二進(jìn)制文件，以避免被檢測(cè)到。

惡意軟件還會(huì)使用一個(gè)回退函數(shù)來實(shí)現(xiàn)持久性，然后部署一個(gè)最終的 Base64 有效載荷，其中包括一個(gè)殺死進(jìn)程的命令，采取其他步驟繞過檢測(cè)，并建立一個(gè)持久性后門–讓攻擊者可以長(zhǎng)期訪問被入侵的機(jī)器。

為避免成為 perfctl 的下一個(gè)受害者，趨勢(shì)公司團(tuán)隊(duì)建議實(shí)施強(qiáng)大的訪問控制和身份驗(yàn)證，并監(jiān)控 Docker Remote API 服務(wù)器的任何異常行為。

不言而喻，要定期打補(bǔ)丁，定期進(jìn)行安全審計(jì)，并遵循容器安全最佳實(shí)踐，如盡可能不使用 “特權(quán) ”模式，并在部署前審查容器鏡像和配置。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/