揭露利用Tor网络的Docker远程API攻击链

近期发现一起攻击活动利用暴露的Docker Remote API和Tor网络部署隐蔽的加密货币矿工。本文详细分析该攻击链。

攻击序列

攻击从IP地址198[.]199[.]72[.]27发起，请求Docker远程API服务器获取容器列表。发现无运行容器后，攻击者创建基于alpine镜像的新容器，挂载主机根目录（/:/hostroot:rw）以实现容器逃逸尝试。

攻击者使用base64编码隐藏恶意命令，解码后通过Tor网络匿名获取并执行远程脚本docker-init.sh。该脚本执行以下操作：

修改主机SSH配置：启用root登录和公钥认证，添加SSH公钥建立持久后门访问。
安装工具：
- masscan：快速端口扫描器（用于横向移动）
- libpcap, libpcap-dev：数据包捕获库
- zstd：基于ZStandard算法的压缩/解压工具，以高压缩比和快速解压著称
- torsocks：通过Tor路由应用流量
C2信标：通过Tor网络向.onion域发送系统信息（IP、架构）确认入侵成功
下载二进制文件：使用torsocks通过Tor下载Zstandard压缩的负载（.zst文件），针对目标系统架构定制
执行负载：解压二进制文件，提升文件描述符限制，执行主恶意负载

下载的二进制文件作为XMRig加密货币矿工的投放器，内含矿工二进制文件、钱包地址、矿池URL和执行参数，实现无缝部署并最小化外部依赖。

Tactic	Technique	Technique ID
Initial Access	Exploit Public-Facing Application	T1190
Execution	Deploy Container	T1610
Execution	Command and Scripting Interpreter: Unix Shell	T1059.004
Privilege Escalation	Escape to Host	T1611
Persistence	Account Manipulation: SSH Authorized Keys	T1098.004
Defense Evasion	Obfuscated Files or Information: Compression	T1027.015
Command and Control	Proxy: Multi-hop Proxy	T1090.003
Command and Control	Encrypted Channel: Asymmetric Cryptography	T1573.002
Command and Control	Ingress Tool Transfer	T1105
Command and Control	Application Layer Protocol	T1071

该攻击展示了恶意行为者利用Docker API和Tor网络隐藏活动的复杂方法。通过分析攻击链，可深入了解其TTP，加强防御保护关键基础设施。

SHA256哈希：

1bb95a02f1c12c142e4e34014412608668c56502f28520c07cad979fa8ea6455 (pkg-updater)
04b307515dd8179f9c9855aa6803b333adb3e3475a0ecc688b698957f9f750ad (docker-init.sh)
f185d41df90878555a0328c19b86e7e9663497384d6b3aae80cb93dbbd591740 (System.zst)
b9b8a041ff1d71aaea1c9d353cc79f6d59ec03c781f34d731c3f00b85dc7ecd8 (system)

URL和IP地址：

198[.]199[.]72[.]27
http[:]//wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/static/docker-init.sh
http[:]//wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/bot/add
http[:]//2hdv5kven4m422wx4dmqabotumkeisrstzkzaotvuhwx3aebdig573qd[.]onion:9000/binary/system-linux-$(uname -m).zst
gulf[.]moneroocean[.]stream:10128