黑客通过管理 API 端口破坏了 Docker 集群,而这些 API 端口在没有密码的情况下在线暴露。
在过去的几个月中,恶意软件操作一直在互联网上扫描运行没有密码的,暴露在互联网上的 API 端口的 Docker 服务器。然后,黑客进入不受保护的主机,并安装了一种名为 Kinsing 的新型加密挖矿恶意软件。
根据云安全公司 Aqua Security 的说法,攻击始于去年,并且仍在继续。该公司在周五的博客文章中详细介绍了该活动。
这些攻击只是针对 Docker 实例的一连串恶意软件活动中的最后一次攻击 – 这些系统一旦受到攻击,便可以为黑客组织提供不受限制地访问大量计算资源的权限。
根据 Aqua 的安全研究人员 Gal Singer 的说法,一旦黑客发现带有公开 API 端口的 Docker 实例,他们便使用该端口提供的访问来启动 Ubuntu 容器,并在其中下载并安装 Kinsing 恶意软件。
该恶意软件的主要目的是在被黑客入侵的 Docker 实例上挖掘加密货币,但它还具有辅助功能。其中包括下载并运行一个版本的 ClamAV 防病毒引擎以检测并删除可能在本地运行的其他恶意软件,还包括一个脚本,该脚本收集本地 SSH 凭据以试图传播到公司的容器网络,从而感染其他云系统。相同的恶意软件。
由于 Kinsing 恶意软件攻击仍在继续,因此 Aqua 建议公司检查其 Docker 实例的安全设置,并确保没有在线公开管理 API。此类管理端点应位于防火墙或 VPN 网关后面(如果需要在线公开)或在不使用时禁用。
最近的 Kinsing 恶意软件活动只是针对 Docker 实例的加密采矿僵尸网络攻击的一长串攻击中的最新攻击。
中小型企业越来越受到网络犯罪分子的攻击,但他们通常缺乏资源和专业知识来制定全面的安全策略来帮助防御威胁。这套政策将帮助您的公司…
TechRepublic Premium 提供的工具和模板
这种攻击在 2018 年的春天第一次开始的 Aqua和Sysdig是第一批公司,以探测时间对泊坞窗系统的攻击。
随后出现了其他攻击和恶意软件。趋势科技(2018 年 10 月),瞻博网络(2018 年 11 月),Imperva(2019 年 3 月),趋势科技和阿里云(2019 年 5 月),趋势科技再次(2019 年 6 月)详细介绍了针对 Docker 服务器的其他攻击的报告。Palo Alto Networks(2019 年 10 月)。
