利用暴露在外的API，无法检测的Linux恶意软件将矛头指向Docker服务器

K8s已经成为一线大厂分布式平台的标配技术。你是不是还在惆怅怎么掌握它？来这里，大型互联网公司一线工程师亲授，不来虚的，直接上手实战，3天时间带你搭建K8s平台，快速学会K8s，点击下方图片可了解培训详情。

网络安全研究人员日前发现一种完全无法检测的Linux恶意软件。该恶意软件利用某种未知技术监控并入侵托管在多种流行云平台（包括AWS、Azure以及阿里云）上的公开Docker服务器。

Docker是一种针对Linux与Windows系统的高人气平台即服务（PaaS）解决方案，旨在帮助开发人员轻松在松散隔离的环境（即容器）当中创建、测试并运行各类应用程序。

根据Intezer与The Hacker News发布的最新研究，目前这轮Ngrok采矿僵尸网络攻击正在互联网上扫描各未经过正确配置的Docker API端点，并使用新的恶意软件成功感染了大量易受攻击的服务器。

尽管Ngrok在过去两年中一直相当活跃，但此次新活动主要集中在存在配置错误的Docker服务器上，并以此为跳板在受害者的基础设施当中运行带有加密货币采矿程序的恶意容器。

这种新的多线程恶意软件被定名为“Doki”，其利用“一种未经证明的方法，以独特的方式利用Dogecoin加密货币区块链与攻击操作者对接，借此动态生成其C2域地址。目前VirusTotal中已经公开提供相关示例。”

根据研究人员的介绍，该恶意软件：

在设计上能够从攻击操作者处接收命令。
利用Dogecoin加密货币区块浏览器实时动态生成其C2域。
使用embedTLS库实现加密货币采矿功能与网络通信。
使用寿命极短的唯一URL，并在攻击过程中利用URL下载载荷。
“该恶意软件利用DynDNS服务以及基于Dogecoin加密货币区块链的独特域生成算法（DGA）以实时查找其C2域。”

除此之外，攻击者还设法将新创建的容器与服务器根目录进行绑定，借此成功入侵主机，进而访问或修改主机系统上的各项文件。

“通过使用绑定配置，攻击者可以控制主机的cron实用程序。攻击者会修改主机的cron以保证每分钟执行一次下载完成的载荷。”

“由于攻击者使用容器逃逸技术以全面控制受害者的基础设施，因此本轮攻击具有极高的危险性。”

一旦成功感染，该恶意软件还利用zmap、zgrap以及jq等扫描工具，经由受感染的系统进一步扫描网络中与Redis、Docker、SSH以及HTTP相关的端口。

Doki早在2020年1月14日就已经被上传至VirusTotal并在此后经历了多次扫描，但其仍然设法躲藏了六个月以上。令人惊讶的是，截至本文撰稿时，61款顶级恶意软件检测引擎仍然无一能够成功将它检测出来。

这已经是Docker容器软件本月第二次沦为攻击活动的目标。上个月末，有恶意攻击者以暴露在外的Docker API端口为目标开发出经过恶意感染的镜像，并借此实施了DDoS与加密货币采矿攻击。

这里，建议各位运行Docker实例的用户与组织不要将Docker API公开至互联网之上；如果你必须公开，请保证仅可通过受信网络或者VPN对API进行访问，且只有可信用户才能控制Docker守护程序。

如果你通过Web服务器管理Docker以经由API设置容器，则应更谨慎地执行参数检查，保证恶意用户无法通过API向Docker中传递任何可能破坏容器安全的特制参数。

原文链接：https://thehackernews.com/2020/07/docker-linux-malware.html

基于Kubernetes的DevOps实战培训

基于Kubernetes的DevOps实战培训将于2020年8月14日在上海开课，3天时间带你系统掌握Kubernetes，学习效果不好可以继续学习。本次培训包括：容器特性、镜像、网络；Kubernetes架构、核心组件、基本功能；Kubernetes设计理念、架构设计、基本功能、常用对象、设计原则；Kubernetes的数据库、运行时、网络、插件已经落地经验；微服务架构、组件、监控方案等，点击下方图片或者阅读原文链接查看详情。