威胁行为者利用Gafgyt恶意软件利用配置错误的Docker远程API服务器进行攻击

趋势科技研究发现，Gafgyt 恶意软件（又称 Bashlite 或 Lizkebab）的行为发生了重大变化，它现在将错误配置的 Docker Remote API 服务器作为攻击目标。这标志着 Gafgyt 从传统上以易受攻击的物联网设备为攻击重点的转变。

报告显示，威胁者利用公开暴露和配置错误的 Docker 远程 API 服务器来部署 Gafgyt 恶意软件。攻击者使用合法镜像（如轻量级 “高山 ”镜像）创建 Docker 容器，并利用权限升级等技术获得对主机系统的控制权。报告称：”攻击者使用该命令将主机的根目录（/:）挂载到容器内的/mnt目录。这意味着容器可以访问和修改主机的文件系统，就好像它是自己文件系统的一部分。通过这样做，攻击者可以提升权限，并有可能获得对主机系统的控制权”。

Gafgyt 恶意软件攻击链 | 图片： 趋势科技

在观察到的攻击中，Gafgyt 二进制文件以 “rbot ”和 “atlas.i586 ”等文件名部署，这两个文件名都硬编码了命令与控制（C&C）服务器的 IP 地址和端口。这些二进制文件使攻击者能够使用 UDP、TCP、HTTP 和其他协议发起分布式拒绝服务 (DDoS) 攻击。趋势科技高级威胁研究员苏尼尔-巴蒂（Sunil Bharti）指出：“在容器部署尝试失败的情况下，攻击者会通过部署一个shell脚本再次尝试部署另一个变种的Gafgyt僵尸网络二进制文件，该脚本会针对不同的系统架构下载并执行僵尸网络二进制文件。”

一旦部署成功，恶意软件就会连接到其 C&C 服务器接收指令。然后，它就可以利用多种协议执行各种 DDoS 攻击，使目标不堪重负。此外，该恶意软件还包括通过与谷歌 DNS 服务器（8.8.8.8）交互来识别受害主机本地 IP 地址的功能。这一步骤可确保攻击者的命令在正确的网络环境中执行。

通过攻击 Docker 远程 API 服务器，威胁行为者可以利用企业级基础设施，从而可能导致比传统物联网设备入侵更严重的后果。Bharti 强调：“随着其目标扩展到通常范围之外，其行为发生了转变。”

趋势科技敦促企业通过禁用远程 API 访问（如果不需要）、实施强大的身份验证以及监控网络流量的异常活动来保护其 Docker 环境的安全。定期打补丁和适当的配置管理仍然是缓解此类威胁的关键。