2017年底,恶意软件领域发生了重大变化。随着基于云的技术越来越流行,网络犯罪团伙也开始针对Docker和Kubernetes系统
大多数此类攻击遵循一种非常简单的模式,即威胁参与者扫描配置错误的系统,这些系统的管理界面暴露在网上,以便接管服务器并部署加密货币挖掘恶意软件。
在过去三年中,这些攻击不断加剧,而且,针对Docker(和Kubernetes)的新的恶意软件毒株和威胁参与者现在正在定期被发现。
但是尽管现在Docker服务器上的恶意软件攻击已经司空见惯,许多web开发人员和基础设施工程师还没有吸取教训,仍然错误地配置Docker服务器,留下他们暴露于攻击。
这些错误中最常见的是让Docker remote administration API端点在未经身份验证的情况下在线暴露。
过去几年,恶意软件如道具,Ngrok,Kinsing(H2miner),XORDDOS,AESDoS,其他,已经扫描了Docker服务器,这些服务器使Docker management API暴露在网络上,然后滥用它来部署恶意操作系统映像以安装后门或安装加密货币矿工。
上周,中国安全公司奇虎360发现了这些恶意软件的最新版本。命名为Blackrota,这是一个简单的后门特洛伊木马,基本上是用Go编程语言实现的CarbonStrike beacon的简化版本。
到目前为止,只发现了一个Linux版本,不清楚该恶意软件是如何使用的。研究人员不知道Windows版本是否也存在,Blackrota是否被用于加密货币挖掘,或者,如果它用于在强大的云服务器上运行DDoS僵尸网络。
众所周知,Blackrota依赖于犯了错误并意外错误配置Docker服务器的开发人员。
从Blackrota和过去的攻击中得到的教训是,Docker不再是边缘技术。现在,威胁行为体几乎每天都有针对性地进行大规模攻击。
公司、web开发人员,并且建议运行Docker systems部分生产系统的工程师查看正式的Docker文档以确保他们有适当的保护Docker的远程管理功能身份验证机制,例如基于证书的身份验证系统。
目前,有围绕的大量教程,即使是最缺乏经验的开发人员也可以通过循序渐进的指南进行指导。
随着Docker在现代社会中的地位越来越突出基础设施建设,随着攻击的增加,以及针对Docker系统的恶意软件的数量逐月增加,是时候让开发人员认真对待Docker安全了。
