揭秘利用Tor网络的Docker远程API攻击链
近期发现一起结合Docker远程API和Tor匿名网络的攻击活动,攻击者利用配置不当的Docker API访问容器化环境,通过Tor隐藏活动痕迹并部署加密货币矿工。值得注意的是,攻击中使用了基于ZStandard算法的zstd工具,以其高压缩比和快速解压速度著称。
任何使用容器化应用的组织都可能面临此类威胁,但观察到云服务密集的行业(如科技公司、金融服务和医疗机构)尤为活跃。
Trend Vision One™可检测并阻断本文讨论的IOC,同时提供狩猎查询、威胁洞察和情报报告,帮助获取相关攻击的丰富上下文和最新信息。
攻击序列
初始访问
攻击从IP地址198[.]199[.]72[.]27发起,目标为Docker远程API服务器,请求获取容器列表。
响应显示当前无运行容器。攻击者随后通过POST请求创建新容器:
在此请求中,攻击者基于"alpine"镜像创建容器,并将主机根目录"(/:/hostroot:rw)“挂载到容器内——这是访问或操纵主机系统的常见手法,也是容器逃逸尝试的典型技术。载荷中的命令经base64编码以隐藏意图并规避基于字符串的检测,解码后通过shell执行实际恶意脚本:
|
|
此命令链在容器内设置Tor,以匿名方式从隐藏的”.onion"服务器获取并执行远程脚本,反映了攻击者隐藏C&C基础设施、规避检测并在受损云或容器环境中投递恶意软件的常见策略。此外,攻击者使用"socks5h"通过Tor路由所有流量和DNS解析,以增强匿名性和规避能力。
容器创建请求成功后,攻击者启动新容器:
恶意脚本分析
base64编码的载荷从Tor网络中的文件服务器部署恶意shell脚本"docker-init.sh",其内容执行以下任务:
修改主机SSH配置(权限提升/后门)
- 检查之前创建容器时挂载的"/hostroot"目录是否存在
- 在主机的sshd_config中启用root登录和公钥认证
- 将base64字符串(SSH公钥)追加到主机的authorized_keys文件,建立持久后门访问
安装所需工具
- masscan:快速端口扫描器(用于横向移动)
- libpcap, libpcap-dev:数据包捕获库
- zstd:基于ZStandard算法的压缩/解压工具,以良好压缩比和极快解压速度著称
- torsocks:通过Tor路由应用流量,安全处理DNS并仅允许TCP连接
通过Tor进行C2信标(匿名回连)
- 使用curl通过".onion"域名向攻击者C2服务器发送系统信息(IP、架构)
- 表明机器已成功被攻陷
通过Tor下载二进制文件
攻击者使用torsocks通过Tor网络路由流量,下载针对目标系统架构定制的Zstandard压缩(.zst)载荷,使恶意软件传输更快、更紧凑。
提取并执行载荷
解压二进制文件,使其可执行,提高文件描述符限制,并执行主要恶意软件载荷。
恶意二进制文件
下载的二进制文件作为XMRig加密货币矿工的投放器。此投放器包含矿工二进制文件及所有必要执行步骤,无需下载外部组件即可部署矿工,有助于攻击者规避检测并简化在受损环境中的部署。
矿工运行命令如下:
|
|
投放器二进制文件包含所有钱包地址、矿池URL和执行参数,可实现矿工无缝部署,同时最小化外部依赖并辅助规避。
MITRE ATT&CK框架TTP映射
| 战术 | 技术 | 技术ID |
|---|---|---|
| 初始访问 | 利用面向公众的应用程序 | T1190 |
| 执行 | 部署容器 | T1610 |
| 执行 | 命令和脚本解释器:Unix Shell | T1059.004 |
| 权限提升 | 逃逸到主机 | T1611 |
| 持久化 | 账户操纵:SSH授权密钥 | T1098.004 |
| 防御规避 | 混淆文件或信息:压缩 | T1027.015 |
| 命令与控制 | 代理:多跳代理 | T1090.003 |
| 命令与控制 | 加密通道:非对称加密 | T1573.002 |
| 命令与控制 | 入口工具传输 | T1105 |
| 命令与控制 | 应用层协议 | T1071 |
表1. 攻击中使用的TTP摘要
防护建议
为保护开发环境免受针对容器和主机的攻击,建议实施以下最佳实践:
- 正确配置容器和API以降低利用性攻击风险。Docker提供了用户如何加强安全性的具体指南。
- 组织应仅使用官方或认证镜像,确保环境中仅运行受信任内容。
- 运行容器不应使用root权限,而应作为应用用户。
- 容器应配置为仅授予受信任源(如内部网络)访问权限。
- 组织应遵循推荐的最佳实践。例如,Docker提供了用户可遵循的全面最佳实践和内置安全功能列表,以增强云环境安全性。
- 应定期执行安全审计,检查任何可疑容器和镜像。
结论
此攻击凸显了恶意行为者采用的复杂方法,利用Docker API和Tor网络掩盖其活动。通过剖析攻击,我们获得了有关所用战术、技术和程序(TTP)的宝贵见解,从而能够加强防御并保护关键基础设施。
Trend Vision One™主动安全
Trend Vision One™是唯一由AI驱动的企业网络安全平台,集中管理网络风险暴露管理、安全运营和强大的分层防护。这种全面方法帮助您预测和预防威胁,加速整个数字资产的主动安全成果。凭借数十年的网络安全领导地位和行业首个主动网络安全AI Trend Cybertron的支持,它提供了经过验证的结果:勒索软件风险降低92%,检测时间减少99%。安全领导者可以基准化其安全态势并向利益相关者展示持续改进。借助Trend Vision One,您能够消除安全盲点,专注于最重要的事项,并将安全提升为创新的战略合作伙伴。
Trend Micro™威胁情报
为领先于不断演变的威胁,Trend客户可以访问Trend Vision One™威胁洞察,提供Trend Research关于新兴威胁和威胁行为者的最新见解。
Trend Vision One威胁洞察
- 新兴威胁:揭秘利用Tor网络的Docker漏洞利用
Trend Vision One情报报告(IOC扫描)
- 通过Docker远程API利用和Tor网络部署XMRig
狩猎查询 Trend Vision One搜索应用 Trend Vision One客户可使用搜索应用匹配或狩猎本博文中提到的恶意指标与环境中的数据。
通过Zstd在临时文件夹中潜在恶意软件解压
|
|
更多狩猎查询可供具有威胁洞察授权的Trend Vision One客户使用。
危害指标(IOC)
| SHA256 | 文件名 | 检测名称 |
|---|---|---|
| 1bb95a02f1c12c142e4e34014412608668c56502f28520c07cad979fa8ea6455 | pkg-updater | Coinminer.Linux.MALXMR.SMDSL64 |
| 04b307515dd8179f9c9855aa6803b333adb3e3475a0ecc688b698957f9f750ad | docker-init.sh | HackTool.SH.Masscan.B |
| f185d41df90878555a0328c19b86e7e9663497384d6b3aae80cb93dbbd591740 | System.zst | HackTool.Linux.Masscan.A |
| b9b8a041ff1d71aaea1c9d353cc79f6d59ec03c781f34d731c3f00b85dc7ecd8 | system | HackTool.Linux.Masscan.A |
URL和IP地址
- 198[.]199[.]72[.]27
- http[:]//wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/static/docker-init.sh
- http[:]//wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/bot/add
- http[:]//2hdv5kven4m422wx4dmqabotumkeisrstzkzaotvuhwx3aebdig573qd[.]onion:9000/binary/system-linux-$(uname -m).zst
- gulf[.]moneroocean[.]stream:10128