据趋势科技研究人员称,一个未知的攻击者正在滥用暴露的 Docker Remote API 服务器,在受害者的系统上部署 perfctl 加密恶意软件。
趋势科技的高级威胁研究员苏尼尔-巴蒂(Sunil Bharti)告诉《The Register》,他所在团队的蜜罐在潜在骗子部署了 perfctl 之后捕获了两次此类尝试。本月早些时候,Aqua 安全研究人员曾警告说,这款恶意软件的目标可能是数百万人,受害者数以千计,并宣称 “任何 Linux 服务器都可能面临风险”。
因此,最好现在就加固 Docker Remote API 服务器,因为 Trend 警告说,利用这些未受保护的服务器的行为已经 “达到了一个严重的程度,需要企业及其安全专业人员认真对待”。
今年早些时候,这家安全商店发现了一个类似的加密劫持攻击活动,该活动也滥用了暴露的 Docker Remote API 服务器,并且自 2024 年开始一直处于活跃状态。
在较新的攻击中,犯罪分子也是通过这些连接互联网的服务器获得初始访问权限,然后从ubuntu:mantic-20240405基础镜像中创建一个容器。它使用特定设置在特权模式和 pid 模式:host 下运行,以确保容器共享主机系统的进程 ID(PID)命名空间。
研究人员 Sunil Bharti 和 Ranga Duraisamy 写道:“这意味着容器内运行的进程将与主机上的进程共享相同的 PID 命名空间。”
“因此,容器的进程将能够以与所有运行进程相同的方式查看主机系统上运行的所有进程并与之交互,就像它们直接在主机上运行一样。”
然后,不法分子使用 Docker Exec API 执行一个由两部分组成的有效载荷。第一部分使用 nsenter 命令逃离容器。该命令以root身份运行,允许攻击者在不同的命名空间(如目标的挂载、UTS、IPC、网络和PID)中执行程序,这使其 “具有类似于在主机系统中运行的能力”。
有效载荷的第二部分包含一个 Base64 编码的 shell 脚本,用于检查和防止重复进程,并创建一个 bash 脚本。安装完成后,它会创建一个自定义的__curl函数,在系统中没有curl或wget时使用,如果架构不是x86-64,它就会自终止,检查并确认恶意进程的存在,并使用端口44870或63582查找活动的TCP连接。如果确定恶意软件没有运行,它会下载伪装成 PHP 扩展的恶意二进制文件,以避免被检测到。
恶意软件还会使用一个回退函数来实现持久性,然后部署一个最终的 Base64 有效载荷,其中包括一个杀死进程的命令,采取其他步骤绕过检测,并建立一个持久性后门–让攻击者可以长期访问被入侵的机器。
为避免成为 perfctl 的下一个受害者,趋势公司团队建议实施强大的访问控制和身份验证,并监控 Docker Remote API 服务器的任何异常行为。
不言而喻,要定期打补丁,定期进行安全审计,并遵循容器安全最佳实践,如尽可能不使用 “特权 ”模式,并在部署前审查容器镜像和配置。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容