在2019年9月至2019年12月之間,Palo Alto Networks (派拓網(wǎng)絡(luò ))威脅情報團隊Unit 42的研究人員定期掃描并收集了暴露于互聯(lián)網(wǎng)的Docker主機元數據(很大程度上是由于用戶(hù)無(wú)意造成的),這項研究揭示了攻擊者在受感染的Docker引擎中使用的一些策略與技術(shù)。在我們的研究中,總共發(fā)現了1,400個(gè)不安全的Docker主機、8,673個(gè)活躍容器、17,927個(gè)Docker鏡像和15,229個(gè)卷。下圖1顯示了Docker守護進(jìn)程的位置分布,圖2則為使用的Docker版本和操作系統類(lèi)型。我們的團隊通知Docker團隊該情況后,Docker團隊立即與Unit 42一起快速合作以刪除惡意鏡像。
圖1:暴露的不安全Docker主機位置
圖2.不安全的Docker主機版本(左)和操作系統(右)
在過(guò)去幾年中,容器技術(shù)獲得了極大的普及,并且正在成為包裝、交付和部署新型應用的主流方法。盡管該技術(shù)正在迅速發(fā)展并被采用,但與此同時(shí)也成為攻擊者的重要目標。
盡管大多數惡意活動(dòng)都涉及挖礦劫持(大多數情況下是針對門(mén)羅幣的挖掘),但一些受感染的Docker引擎卻被用來(lái)發(fā)起其他攻擊或在主機上安裝黑客程序。還可以從公開(kāi)的日志中找到敏感信息,例如應用憑證和基礎設施配置。我們經(jīng)常看到的一種有趣的策略是,攻擊者將整個(gè)主機文件系統安裝到一個(gè)容器上,并從該容器訪(fǎng)問(wèn)主機操作系統(OS)以對其進(jìn)行讀取/寫(xiě)入。
我們將觀(guān)察到的惡意活動(dòng)劃分為以下四個(gè)類(lèi)別:
1、使用惡意代碼部署容器鏡像。惡意鏡像首先被推送到公共注冊表。然后拉取鏡像并部署在不安全的Docker主機上。
2、部署良性容器鏡像并在運行時(shí)下載惡意有效負載。
良性鏡像已部署在Docker主機上。然后在良性容器內下載并執行惡意的有效負載。
3、在主機上部署惡意負載。
攻擊者會(huì )將整個(gè)主機文件系統安裝到一個(gè)容器上,然后從該容器訪(fǎng)問(wèn)主機文件系統。
4、從Docker日志中獲取敏感信息。
攻擊者會(huì )抓取Docker日志以查找敏感信息,例如憑證和配置信息。
圖3 觀(guān)察到的四種惡意活動(dòng)
結論
本研究針對攻擊者在破壞容器平臺時(shí)使用的策略和技術(shù)提供了第一手的一般性觀(guān)點(diǎn)。我們不僅研究了容器平臺中的惡意活動(dòng),還研究了檢測和阻止這些活動(dòng)所需的對策。由于大多數漏洞是由不安全的Docker守護進(jìn)程意外暴露于互聯(lián)網(wǎng)引起的,因此,一些有效緩解這些漏洞的防御策略包括:
- 在Docker守護進(jìn)程socket上配置TLS時(shí),始終強制進(jìn)行雙向身份驗證
- 使用Unix socket在本地與Docker守護進(jìn)程通信,或使用SSH連接到遠程Docker守護進(jìn)程
- 僅允許白名單里的客戶(hù)端IP訪(fǎng)問(wèn)Docker服務(wù)器
- 在Docker中啟用內容信任,以便僅拉取經(jīng)過(guò)簽名和驗證的鏡像
- 掃描每個(gè)容器鏡像中的漏洞和惡意代碼。
- 部署運行時(shí)間保護工具以監測正在運行的容器。
如果您是Palo Alto Networks(派拓網(wǎng)絡(luò ))客戶(hù),將得到以下保護:
- Prisma Cloud漏洞掃描程序可以檢測易受攻擊的或惡意的代碼,并在構建時(shí)將其阻止。
- Prisma Cloud Compute在運行時(shí)間持續監測容器和主機。
有關(guān)本次研究的細節,敬請查看英文原版內容:https://unit42.paloaltonetworks.com/attackers-tactics-and-techniques-in-unsecured-docker-daemons-revealed/
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò ))
作為全球網(wǎng)絡(luò )安全領(lǐng)導企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò ))正借助其先進(jìn)技術(shù)重塑著(zhù)以云為中心的未來(lái)社會(huì ),改變著(zhù)人類(lèi)和組織運作的方式。我們的使命是成為首選網(wǎng)絡(luò )安全伙伴,保護人們的數字生活方式。借助我們在人工智能、分析、自動(dòng)化與編排方面的持續性創(chuàng )新和突破,助力廣大客戶(hù)應對全球最為嚴重的安全挑戰。通過(guò)交付集成化平臺和推動(dòng)合作伙伴生態(tài)系統的不斷成長(cháng),我們始終站在安全前沿,在云、網(wǎng)絡(luò )以及移動(dòng)設備方面為數以萬(wàn)計的組織保駕護航。我們的愿景是構建一個(gè)日益安全的世界。
