圖1:暴露的不安全Docker主機位置
圖2.不安全的Docker主機版本(左)和操作系統(tǒng)(右)
在過去幾年中��,容器技術(shù)獲得了極大的普及����,并且正在成為包裝����、交付和部署新型應(yīng)用的主流方法����。盡管該技術(shù)正在迅速發(fā)展并被采用,但與此同時也成為攻擊者的重要目標(biāo)��。
盡管大多數(shù)惡意活動都涉及挖礦劫持(大多數(shù)情況下是針對門羅幣的挖掘)�����,但一些受感染的Docker引擎卻被用來發(fā)起其他攻擊或在主機上安裝黑客程序�����。還可以從公開的日志中找到敏感信息,例如應(yīng)用憑證和基礎(chǔ)設(shè)施配置���。我們經(jīng)??吹降囊环N有趣的策略是����,攻擊者將整個主機文件系統(tǒng)安裝到一個容器上,并從該容器訪問主機操作系統(tǒng)(OS)以對其進行讀取/寫入�����。
我們將觀察到的惡意活動劃分為以下四個類別:
1. 使用惡意代碼部署容器鏡像�。
惡意鏡像首先被推送到公共注冊表。然后拉取鏡像并部署在不安全的Docker主機上�。
2. 部署良性容器鏡像并在運行時下載惡意有效負載。
良性鏡像已部署在Docker主機上�。然后在良性容器內(nèi)下載并執(zhí)行惡意的有效負載。
3. 在主機上部署惡意負載�。
攻擊者會將整個主機文件系統(tǒng)安裝到一個容器上,然后從該容器訪問主機文件系統(tǒng)�。
4. 從Docker日志中獲取敏感信息。
攻擊者會抓取Docker日志以查找敏感信息���,例如憑證和配置信息����。
圖3 觀察到的四種惡意活動
結(jié)論
本研究針對攻擊者在破壞容器平臺時使用的策略和技術(shù)提供了第一手的一般性觀點。我們不僅研究了容器平臺中的惡意活動����,還研究了檢測和阻止這些活動所需的對策。由于大多數(shù)漏洞是由不安全的Docker守護進程意外暴露于互聯(lián)網(wǎng)引起的�,因此,一些有效緩解這些漏洞的防御策略包括:
· 在Docker守護進程socket上配置TLS時�,始終強制進行雙向身份驗證
·?使用Unix socket在本地與Docker守護進程通信,或使用SSH連接到遠程Docker守護進程
· 僅允許白名單里的客戶端IP訪問Docker服務(wù)器
·?在Docker中啟用內(nèi)容信任�,以便僅拉取經(jīng)過簽名和驗證的鏡像
· 掃描每個容器鏡像中的漏洞和惡意代碼。
· 部署運行時間保護工具以監(jiān)測正在運行的容器����。
如果您是Palo Alto Networks(派拓網(wǎng)絡(luò))客戶�����,將得到以下保護:
· Prisma Cloud漏洞掃描程序可以檢測易受攻擊的或惡意的代碼��,并在構(gòu)建時將其阻止���。
·?Prisma Cloud Compute在運行時間持續(xù)監(jiān)測容器和主機���。
本文作者:Palo Alto Networks(派拓網(wǎng)絡(luò))威脅情報團隊Unit 42
