最新博文摘要如下:
在2019年9月至2019年12月之间，Palo Alto Networks （派拓网络）威胁谍报团队Unit 42的研究人员按期扫描并收集了袒露于互联网的Docker主机元数据（很洪流平上是由于用户无意造成的），这项研究揭示了打击者在受传染的Docker引擎中使用的一些计谋与技术。在我们的研究中，总共发明了1,400个不安适的Docker主机、8,673个活跃容器、17,927个Docker镜像和15,229个卷。下图1显示了Docker守护进程的位置漫衍，图2则为使用的Docker版本和操纵系统类型。我们的团队通知Docker团队该情况后，Docker团队当即与Unit 42一起快速合作以删除恶意镜像。

图1：袒露的不安适Docker主机位置

 

图2.不安适的Docker主机版本（左）和操纵系统（右）

 
在过去几年中，容器技术获得了极大的普及，并且正在成为包装、交付和部署新型应用的主流要领。尽管该技术正在迅速成长并被给与，但与此同时也成为打击者的重要方针。
 
尽管大大都恶意勾当都涉及挖矿劫持（大大都情况下是针对门罗币的挖掘），但一些受传染的Docker引擎却被用来倡议其他打击或在主机上安置黑客措施。还可以从果然的日志中找到敏感信息，例如应用凭证和根本设施配置。我们经常看到的一种有趣的计谋是，打击者将整个主机文件系统安置到一个容器上，并从该容器访谒主机操纵系统（OS）以对其进行读取/写入。
 
我们将不雅察看到的恶意勾当划分为以下四个类别：
 

使用恶意代码部署容器镜像。

恶意镜像首先被推送到大众注册表。然后拉取镜像并部署在不安适的Docker主机上。

部署良性容器镜像并在运行时下载恶意有效负载。

良性镜像已部署在Docker主机上。然后在良性容器内下载并执行恶意的有效负载。

在主机上部署恶意负载。

打击者会将整个主机文件系统安置到一个容器上，然后从该容器访谒主机文件系统。

从Docker日志中获取敏感信息。

打击者会抓取Docker日志以查找敏感信息，例如凭证和配置信息。

图3  不雅察看到的四种恶意勾当

 
结论
 
本研究针对打击者在粉碎容器平台时使用的计谋和技术供给了第一手的一般性不雅概念。我们不只研究了容器平台中的恶意勾当，还研究了检测和阻止这些勾当所需的对策。由于大大都缝隙是由不安适的Docker守护进程不测袒露于互联网引起的，因此，一些有效缓解这些缝隙的防御计谋包孕：
 
·         在Docker守护进程socket上配置TLS时，始终强制进行双向身份验证
·         使用在本地与Docker守护进程通信，或使用连接到长途Docker守护进程
·         仅允许白名单里的客户端IP访谒Docker处事器
·         在Docker中启用内容信任，以便仅拉取颠末签名和验证的镜像
·         扫描每个容器镜像中的缝隙和恶意代码。
·         部署运行时间掩护工具以监测正在运行的容器。
 
如果您是Palo Alto Networks（派拓网络）客户，将得到以下掩护：
 

Prisma Cloud缝隙扫描措施可以检测易受打击的或恶意的代码，并在构建时将其阻止。

Prisma Cloud Compute在运行时间连续监测容器和主机。

 
 
有关本次研究的细节，敬请检察英文原版内容：https://unit42.paloaltonetworks.com/attackers-tactics-and-techniques-in-unsecured-docker-daemons-revealed/