在2019年9月至2019年12月之間�,paloalto威脅情報(bào)團(tuán)隊(duì)Unit 42的研究人員定期掃描并收集了暴露于互聯(lián)網(wǎng)的Docker主機(jī)元數(shù)據(jù)(很大程度上是由于用戶無意造成的),這項(xiàng)研究揭示了攻擊者在受感染的Docker引擎中使用的一些策略與技術(shù)���。在我們的研究中�,總共發(fā)現(xiàn)了1,400個(gè)不安全的Docker主機(jī)��、8,673個(gè)活躍容器����、17,927個(gè)Docker鏡像和15,229個(gè)卷。下圖1顯示了Docker守護(hù)進(jìn)程的位置分布���,圖2則為使用的Docker版本和操作系統(tǒng)類型�。我們的團(tuán)隊(duì)通知Docker團(tuán)隊(duì)該情況后��,Docker團(tuán)隊(duì)立即與Unit 42一起快速合作以刪除惡意鏡像��。
在過去幾年中�,容器技術(shù)獲得了極大的普及�,并且正在成為包裝��、交付和部署新型應(yīng)用的主流方法����。盡管該技術(shù)正在迅速發(fā)展并被采用,但與此同時(shí)也成為攻擊者的重要目標(biāo)���。
盡管大多數(shù)惡意活動(dòng)都涉及挖礦劫持(大多數(shù)情況下是針對(duì)門羅幣的挖掘)���,但一些受感染的Docker引擎卻被用來發(fā)起其他攻擊或在主機(jī)上安裝黑客程序。還可以從公開的日志中找到敏感信息����,例如應(yīng)用憑證和基礎(chǔ)設(shè)施配置。我們經(jīng)?�?吹降囊环N有趣的策略是����,攻擊者將整個(gè)主機(jī)文件系統(tǒng)安裝到一個(gè)容器上,并從該容器訪問主機(jī)操作系統(tǒng)(OS)以對(duì)其進(jìn)行讀取/寫入����。
我們將觀察到的惡意活動(dòng)劃分為以下四個(gè)類別:
1 使用惡意代碼部署容器鏡像����。惡意鏡像首先被推送到公共注冊表�。然后拉取鏡像并部署在不安全的Docker主機(jī)上����。
2 部署良性容器鏡像并在運(yùn)行時(shí)下載惡意有效負(fù)載。良性鏡像已部署在Docker主機(jī)上�。然后在良性容器內(nèi)下載并執(zhí)行惡意的有效負(fù)載。
3 在主機(jī)上部署惡意負(fù)載�。攻擊者會(huì)將整個(gè)主機(jī)文件系統(tǒng)安裝到一個(gè)容器上,然后從該容器訪問主機(jī)文件系統(tǒng)���。
4 從Docker日志中獲取敏感信息��。攻擊者會(huì)抓取Docker日志以查找敏感信息���,例如憑證和配置信息。
結(jié)論
本研究針對(duì)攻擊者在破壞容器平臺(tái)時(shí)使用的策略和技術(shù)提供了第一手的一般性觀點(diǎn)��。我們不僅研究了容器平臺(tái)中的惡意活動(dòng)���,還研究了檢測和阻止這些活動(dòng)所需的對(duì)策��。由于大多數(shù)漏洞是由不安全的Docker守護(hù)進(jìn)程意外暴露于互聯(lián)網(wǎng)引起的����,因此,一些有效緩解這些漏洞的防御策略包括:
1��、在Docker守護(hù)進(jìn)程socket上配置TLS時(shí)�,始終強(qiáng)制進(jìn)行雙向身份驗(yàn)證
2、使用Unix socket在本地與Docker守護(hù)進(jìn)程通信���,或使用SSH連接到遠(yuǎn)程Docker守護(hù)進(jìn)程
3��、僅允許白名單里的客戶端IP訪問Docker服務(wù)器
4���、在Docker中啟用內(nèi)容信任,以便僅拉取經(jīng)過簽名和驗(yàn)證的鏡像
5��、掃描每個(gè)容器鏡像中的漏洞和惡意代碼��。
6��、部署運(yùn)行時(shí)間保護(hù)工具以監(jiān)測正在運(yùn)行的容器�。
如果您是我們的客戶,將得到以下保護(hù):
1、Prisma Cloud漏洞掃描程序可以檢測易受攻擊的或惡意的代碼��,并在構(gòu)建時(shí)將其阻止����。
2、Prisma Cloud Compute在運(yùn)行時(shí)間持續(xù)監(jiān)測容器和主機(jī)�。
