Docker API ponownie zaatakowany

Docker API ponownie zaatakowany

Jak wynika z nowego raportu zespołu Nautilus z Aqua, cyberprzestępcy przeprowadzali w przeszłości ataki na interfejsy API platformy Docker, ale obecnie tworzą i uruchamiają na hoście złośliwe obrazy kontenerów. W poście na blogu szczegółowo opisującym odkrycie Assaf Morag, starszy analityk danych w Aqua Security, stwierdził, że po raz pierwszy w firmie zaobserwowano, że osoby atakujące tworzą własne obrazy zamiast wykorzystywać je z rejestru publicznego. , mówiąc: „Osoba atakująca wykorzystuje źle skonfigurowany port interfejsu API platformy Docker w celu utworzenia i uruchomienia na hoście złośliwego obrazu kontenera. Według naszej wiedzy jest to pierwszy przypadek zaobserwowania ataku, podczas którego osoba atakująca tworzy obraz zamiast go usuwać publiczny zapis na wolności.” Naukowcy utworzyli pojemnik z miodem, w którym można było uchwycić atak w czasie rzeczywistym, i wykorzystali te taśmy do późniejszej analizy.

Twórz obrazy bezpośrednio na docelowym hoście

Tym, co odróżnia ten niedawny atak na interfejsy API Dockera od poprzednich, jest fakt, że „osoba atakująca nie pobrała obrazu ze zdalnego źródła”, lecz zamiast tego zdecydowała się zbudować obraz bezpośrednio na docelowym hoście, aby uniknąć mechanizmów obronnych. Umożliwia także atakującemu zwiększenie trwałości infrastruktury poprzez zbudowanie jej bezpośrednio na hoście. Ta nowa taktyka jest dość niepokojąca, ponieważ uniemożliwia hostom zgłaszanie złośliwych obrazów do Docker Hub lub innych rejestrów publicznych. Aqua i inne podobne firmy często skanują te dzienniki, aby znaleźć i zebrać złośliwe obrazy wykorzystywane przez hakerów. Według bloga Morąga obraz zbudowany bezpośrednio na hoście został wykorzystany do przeprowadzenia ataku polegającego na przejęciu zasobów za pomocą kopacza kryptowalut, a wydobywanie kryptowalut jest obecnie najpopularniejszą metodą ataku wykorzystywaną na kontenery. Chociaż ta nowa taktyka wymaga nieco więcej pracy, nie jest zbyt skomplikowana technicznie i może być wykonywana przez mniej wykwalifikowanych hakerów. Przez TechTarget