经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

申博_安全工具 申博 79次浏览 未收录 0个评论

概述

在现今的互联网中,毛病设置已不是一个新颖的话题。但是,收集犯罪分子正延续将其作为一种卓有成效的体式格局来猎取构造的计算机资本,并进而将其用于歹意目标,由此致使了一个非常值得关注的平安问题。在本篇文章中,我们将细致引见一种进击范例,个中盛行的DevOps东西Docker Engine-Community的开源版本中存在一个API设置毛病,许可进击者渗入容器,并运转歹意软件变种。该变种源自Linux僵尸收集歹意软件AESDDoS,由我们布置的蜜罐捕捉,检测为“Backdoor.Linux.DOFLOO.AA”。

在容器主机上运转的Docker API许可主机吸收一切与容器相干的敕令,以root权限运转的保卫顺序将会实行。无论是由于毛病设置照样有意设置,许可外部接见API接口将会致使进击者能够取得主机的一切权,从而使得他们能够运用歹意软件感染在主机中运转的实例,并进一步取得对用户效劳器和硬件资本的长途接见权限。此前,我们曾发明过收集犯罪分子对公然暴露的Docker主机举行运用,能够会在个中布置加密钱银发掘的歹意软件。

参考浏览:

《容器平安——检核对容器环境的潜伏要挟》

进击要领

在此次新型进击中,要挟行动者起首经由历程向2375端口发送TCP SYN数据包来对指定的IP局限举行外部扫描,2375端口是与Docker保卫历程举行通讯的默许端口。一旦该扫描历程当中识别出开放的端口,则会竖立一个要求运转容器的衔接。当其发明正在运转的容器时,会运用docker exec敕令布置AESDDoS僵尸软件,该敕令许可经由历程Shell接见公网暴露主机中一切符合要求的运转中容器。因而,歹意软件将在已运转的容器内实行,同时试图隐蔽其本身的存在。

东西和Payload剖析

在对我们的蜜罐收到的查询举行搜检时,我们注意到,从HTTP文件效劳器(HFS)面板中发明一个文件的链接。尽人皆知,在过去,可接见的HFS面板常常会被来自中国的要挟行动者滥用,以托管他们的歹意二进制文件,比方ELF Linux/BillGates.Lite歹意软件,以及像Elknot/Setag、MrBlack和Gafgyt如许的僵尸收集。

包括托管歹意软件和东西列表的HFS面板:

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

在我们发明的HFS面板中,有一个名为“2375-SYNG口破绽.zip”的文件,经由剖析,发明它是要挟行动者用于扫描互联网特定局限内易受进击主机的东西。该东西还会发作一些风趣的内容,批处理文件起首实行WinEggDrop扫描顺序(s.exe),它在一切主机上尝试针对ip.txt文件中指定的中文IP地点局限扫描2375端口。该敕令实行后,其输出效果将被保留到名为ips.txt的文件中,然后将其输入到Docker.exe文件。

“2375-SYNG口破绽.zip”压缩包中保留的内容:

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

我们还观察到,要挟行动者滥用了一个名为“Docker Batch Test Tool”(Docker批测试东西)的东西,该东西是为了检测Docker中是不是存在破绽而开辟的。

“2375端口Docker批量检测”的屏幕截图:

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

WinEggDrop端口扫描顺序:

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

在运转Docker.exe东西后,将会向歹意运营者显现以下音讯。

Docker扫描顺序进度音讯:

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

Docker.exe东西尝试经由历程/containers/json列出指定计算机中的一切Docker容器。

列出一切可用容器的JSON查询:

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

随后,它在正在运转的容器中实行敕令。下面的JSON字符串中的cmd参数是该东西.zip压缩包中Shell.txt文件的内容。

Linux 内核 TCP MSS 机制详细分析

前言 上周Linux内核修复了4个CVE漏洞[1],其中的CVE-2019-11477感觉是一个很厉害的Dos漏洞,不过因为有其他事打断,所以进展的速度比较慢,这期间网上已经有相关的分析文章了。[2][3] 而我在尝试复现CVE-2019-11477漏洞的过程中,在第一步设置MSS的问题上就遇到问题了,无法达到预期效果,但是目前公开的分析文章却没对该部分内容进行详细分析。所以本文将通过Linux内核源码对TCP的MSS机制进行详细分析。 测试环境 1. 存在漏洞的靶机 操作系统版本:Ubuntu 18.04 内核版本:4.15.0-20-generic 地址:192.168.11.112 内核源码:

向正在运转的容器中设置exec实例的查询:

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

然后,Docker.exe将布置AESDDoS僵尸收集歹意软件,进击者能够提议多种范例的DDoS进击,比方SYN、LSYN、UDP、UDPS和TCP Flood。此前,我们已看到,该歹意软件变种针对易受进击的Confluence Server和数据中心版本的体系实行DDoS进击、长途代码实行和加密钱银发掘运动。

AESDDoS在衔接到其C&C效劳器时显现此音讯:

经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析

已完成的DDoS要领列表:

· TCP_Flood(void *)

· UDPS_Flood(void *)

· CC2_Flood(void *)

· CC3_Flood(void *)

· CC_Flood(void *)

· UDP_Flood(void *)

· LSYN_Flood(void *)

· SYN_Flood(void *)

· getlocalip(void)

· DNS_Flood3(void *)

· DNS_Flood2(void *)

· DNS_Flood1(void *)

· DNS_Flood4(void *)

DevOps平安发起和解决计划

Docker官方明白正告,防止将Docker保卫顺序设置为2375端口侦听,由于这会使得任何人都能够猎取运转保卫顺序的主机的root接见权限,因而我们必需严厉限定对API和地点的接见。

为了提防基于容器的平安事宜发作,构造能够遵照以下准绳:

1、搜检API设置。体系管理员和开辟人员应该确保将API设置为仅从指定主机或内部收集吸收要求。而且,应该运用HTTPS和证书庇护API终端。

2、实行最小特权准绳。应该确保对容器映像举行署名和身份验证。应该限定针对症结组件的接见,比方辅佐运转容器的保卫顺序效劳等。另外,收集衔接也应该举行加密。

3、遵照引荐的最好实践计划。Docker供应了一个周全的最好实践清单,个中包括专业人员能够运用的内置平安功用,体系管理员和开辟人员应该根据此清单举行布置。

4、运用自动运转时和映像扫描噢东西,来进一步加强对容器的历程的可视性。如许能够协助确认历程是不是已被修改,或许它是不是具有破绽。另外,运用顺序控制和完整性监控将有助于管理员亲昵关注效劳器、文件和体系地区是不是发作非常的修改。

运用夹杂云平安解决计划,能够在构造内部的DevOps历程当中供应壮大、简朴和自动化的平安性保证,同时供应多种XGen要挟防备手艺,以庇护运转时物理、假造和云事情负载。另外,经由历程效劳器深度平安防护体系解决计划和效劳器深度平安防护体系智能搜检,能够加强对容器的庇护,该解决计划能够在开辟历程的任何时候距离内扫描Docker容器映像中是不是存在歹意软件。

原文地点: https://www.4hou.com/malware/18596.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明经由过程暴露的Docker API渗入容器:AESDDoS僵尸收集歹意软件剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址