安全研究人員發(fā)現(xiàn)了一個新的網(wǎng)絡(luò)威脅喳资,目標(biāo)是公開暴露的Docker引擎API實(shí)例。
在這個活動中腾供,攻擊者利用錯誤配置來部署一個惡意Docker容器仆邓,其中包含編譯為ELF可執(zhí)行文件的Python惡意軟件。該惡意工具作為分布式拒絕服務(wù)(DDoS) bot代理伴鳖,展示了各種攻擊方法來進(jìn)行DoS攻擊节值。
根據(jù)Cado安全實(shí)驗(yàn)室周一發(fā)布的一份報告,Docker引擎API(之前的一個目標(biāo)入口點(diǎn))在發(fā)起此類攻擊方面越來越受歡迎榜聂,通常與加密劫持惡意軟件的交付有關(guān)搞疗。無意中暴露Docker引擎API的情況經(jīng)常發(fā)生。這會提示多個不相關(guān)的活動掃描潛在的漏洞须肆。
安全專家發(fā)現(xiàn)的新活動涉及攻擊者通過HTTP POST請求對Docker的API發(fā)起訪問匿乃,從而從Dockerhub檢索惡意Docker容器。攻擊者使用Docker Hub用戶來托管一個特定的容器休吠,該容器被設(shè)計(jì)成無害的扳埂,作為Docker的MySQL映像。
對惡意軟件的ELF可執(zhí)行文件的靜態(tài)分析揭示了一個64位的靜態(tài)鏈接ELF瘤礁,其中包含完整的調(diào)試信息阳懂,表明Python代碼是用Cython編譯的。代碼相對較短,主要關(guān)注各種DoS方法岩调,包括基于SSL巷燥、基于UDP和Slowloris風(fēng)格的攻擊。
機(jī)器人連接到命令與控制(C2)服務(wù)器号枕,使用硬編碼的密碼進(jìn)行身份驗(yàn)證缰揪。Cado安全實(shí)驗(yàn)室監(jiān)控了僵尸網(wǎng)絡(luò)活動,目睹了使用基于UDP和SSL的洪水進(jìn)行DDoS攻擊葱淳。C2命令指示僵尸網(wǎng)絡(luò)針對特定的IP地址或域钝腺,確定攻擊持續(xù)時間、速率和端口赞厕。
盡管沒有觀察到實(shí)際的挖礦活動艳狐,但研究人員警告說,惡意容器中包含可以促進(jìn)此類行為的文件皿桑。
此外毫目,雖然OracleIV沒有被歸類為供應(yīng)鏈攻擊,但Docker Hub用戶被敦促保持警惕诲侮,定期評估提取的圖像并實(shí)施網(wǎng)絡(luò)防御镀虐。
Cado安全實(shí)驗(yàn)室向Docker報告了OracleIV背后的惡意用戶,強(qiáng)調(diào)了Docker庫中惡意容器映像的持續(xù)存在沟绪。鼓勵用戶積極主動地降低與錯誤配置的面向互聯(lián)網(wǎng)的服務(wù)相關(guān)的風(fēng)險刮便。
