組態設定錯誤的問題早已不是新聞,不過對網路犯罪集團來說,這類問題卻是他們入侵企業電腦資源以從事惡意活動的一項有效管道,同時也是資安的首要問題之一。在這篇文章,我們將詳細說明 Docker Engine-Community 這套熱門的開放原始碼 DevOps 工具如何因為組態設定上的錯誤,而讓駭客滲透到容器內部並執行 Linux 殭屍網路惡意程式 AESDDoS 的某個變種 (趨勢科技命名為 Backdoor.Linux.DOFLOO.AA,我們是經由誘捕網路所發現)。
在容器主機上運作的 Docker API 可讓主機接收所有容器相關的指令,然後交由具備系統管理 (root) 權限執行的容器引擎來執行。如果這些 API 的連接埠因為蓄意或組態設定上的錯誤而提供給外部存取,就可能讓駭客有機會掌控主機,在主機上的容器內植入惡意程式,然後從遠端存取使用者的伺服器與硬體資源。先前,我們曾見過暴露在外的 Docker 主機遭歹徒植入虛擬加密貨幣挖礦惡意程式。
[延伸閱讀:Container Security: Examining Potential Threats to the Container Environment]
攻擊方式
在這項新的攻擊中,歹徒會先從外部掃瞄某個 IP 範圍的主機,發送 TCP SYN 封包到連接埠 2375,這是 Docker 引擎接收通訊的預設連接埠。一旦找到有效的連接埠,歹徒就會試圖建立連線來尋找運作中的容器。一旦找到,就會利用 docker exec 指令在容器內植入 AESDDoS 殭屍病毒,讓駭客經由指令列存取該主機上所有可存取的執行中容器。如此一來,惡意程式就能在運作中的容器內執行並隱藏蹤跡。
繼續閱讀
