一场新发现的恶意软件攻击活动正瞄准 Docker 环境,采用了一种复杂的、多层级的混淆技术来逃避检测,并劫持计算资源以进行加密劫持。
来自 Darktrace 和 Cado Security Labs 的安全研究人员对这场攻击活动进行了分析,揭示了攻击者在技术上的精巧手段,以及容器化基础设施所面临的日益增长的风险。
Docker:恶意软件的主要目标
Docker 作为领先的容器化平台,正越来越多地成为网络犯罪分子的攻击目标,这是因为它被广泛采用,而且容器可以很容易地从公共注册中心进行部署。
攻击者利用配置错误或暴露的 Docker 服务来启动恶意容器,他们常常使用托管在 Docker Hub 上的镜像。
这场攻击活动始于一个从 Docker Hub 运行容器的请求,具体是使用 kazutod/tene:ten 这个镜像。
这个容器被设计用来执行一个 Python 脚本 ten.py,该脚本嵌入在镜像层中。安全分析师使用 Docker 的内置工具提取并分析了这个镜像,发现了一个复杂的混淆方案。
混淆过程如下:
1.ten.py 脚本定义了一个 lambda 函数,该函数对一个经过 Base64 编码的字符串进行反转,然后对其进行解码,使用 zlib 库对其解压缩,最后执行得到的代码。
2.这个过程会递归重复:解码后的有效载荷会再次调用相同的解码函数,每次传递一个新的混淆字符串。
3.分析师发现,这个解码循环需要进行 63 次迭代才能最终揭示出实际的恶意代码。
这种深度的多层混淆是不常见的。虽然单轮混淆通常足以绕过基于签名的检测,但攻击者使用几十层混淆似乎是为了让人工分析师和自动化工具都感到棘手。
尽管攻击者费尽心思,研究人员还是能够实现去混淆过程的自动化,并在几分钟内提取出最终的有效载荷。
加密劫持的新手段
与传统的加密劫持恶意软件不同,传统恶意软件会部署像 XMRig 这样的工具来直接挖掘加密货币,而这次的攻击活动采用了一种新颖的方法。
去混淆后的代码会连接到 teneo.pro,这是一家合法的 Web3 初创公司,运营着一个去中心化的社交媒体数据网络。
通过运行一个节点并持续发送 “保持活动” 的 ping 请求,恶意软件可以赚取 “Teneo 点数”—— 这是一种私有加密代币,会奖励给在网络上保持在线时间和进行活动的用户。
值得注意的是,恶意软件并不像合法的节点软件那样执行任何实际的数据抓取操作。相反,它只是模拟活动以最大化代币奖励。
这种方法使攻击者能够获利,同时又不会触发传统挖矿操作中常见的高资源使用率或网络异常情况。
根据报告,这场攻击活动凸显了一个更广泛的趋势:攻击者正从容易被检测到的知名挖矿工具,转向滥用合法的去中心化平台和奖励系统。
这些私有代币的封闭性使得很难追踪或量化攻击者的获利情况。
安全专家强调,Docker 环境仍然是极具吸引力的攻击目标,并敦促各组织:
1.除非绝对必要,否则不要将 Docker 服务暴露在互联网上。
2.使用大的身份验证机制和防火墙来限制访问。
3.定期审计和监控容器活动,以发现异常情况。
4.只从受信任的来源拉取镜像,并对其进行恶意软件扫描。
随着攻击者不断创新,防御者必须保持警惕,并调整他们的安全措施,以保护容器化基础设施免受日益复杂的威胁。
发表评论
您还未登录,请先登录。
登录