警惕!暴露Docker API遭攻击,新型恶意软件perfctl悄然部署
安全研究人员监测到一起针对暴露在互联网上的Docker API的恶意软件攻击活动,攻击者利用未受保护的Docker接口,部署了一种名为“perfctl”的新型恶意软件,对受害服务器资源进行滥用,并可能为后续更严重的攻击埋下伏笔,此事件再次凸显了容器环境安全配置的重要性。
攻击活动概述 亚星官网官方
攻击者通过大规模扫描互联网上暴露且未进行身份验证或身份验证薄弱的Docker API(默认端口2375/2376)来寻找目标,一旦发现可利用的API端点,攻击者便会利用Docker API的远程执行功能,在受害服务器上下载并运行恶意脚本,这些脚本的核心任务便是下载并部署“perfctl”恶意软件。
“perfctl”恶意软件的命名可能与其试图伪装或利用系统性能工具有关,但实际功能却截然相反,它主要被设计用来在受感染的主机上执行恶意任务,目前观察到的其主要行为包括:
- 加密货币挖矿:这是此类恶意软件最常见的用途之一。“perfctl”会利用服务器的CPU资源进行加密货币挖矿,为攻击者牟利,同时导致服务器性能严重下降,甚至无法正常提供服务。
- 资源滥用与DDoS攻击:恶意软件可能会将受感染的服务器组成僵尸网络,用于发起分布式拒绝服务(DDoS)攻击,或作为其他恶意活动的跳板。
- 持久化与权限提升:为了确保自身存活和长期控制,“perfctl”可能会尝试在系统中建立持久化机制,并利用系统漏洞尝试提升权限,以获取更高权限的操作。
- 信息窃取:部分版本的“perfctl”还可能具备收集服务器敏感信息(如环境变量、配置文件、SSH密钥等)并回传给攻击者的能力。
暴露Docker API的风险 www.agg555.net
Docker API是容器化平台的核心组件之一,它允许用户通过编程方式管理容器、镜像、网络等,如果Docker API暴露在公网上且未采取足够的安全措施,就会成为攻击者的“入口点”,具体风险包括:
- 容器逃逸:攻击者可能利用API漏洞从容器逃逸到宿主机,获取整个系统的控制权。
- 资源劫持:如本次事件所示,攻击者可以随意创建、启动恶意容器,消耗CPU、内存、存储等资源。
- 数据泄露:访问容器内的敏感数据,或通过容器扫描宿主机网络,发现其他有价值资产。
- 部署勒索软件:更严重的情况下,攻击者可能利用API部署勒索软件,对服务器数据进行加密勒索。
皇冠足球会员开户 防御建议
为防止此类攻击,企业和开发者应采取以下安全措施来保护Docker API:
- 不暴露Docker API到公网:这是最基本也是最重要的一点,如果确实需要远程访问,应通过VPN或内网代理等方式进行,避免直接将API端口暴露在互联网上。
- 启用严格的身份认证和授权:
- 为Docker daemon配置强密码或TLS证书认证,确保只有授权用户和设备能够访问。
- 根据最小权限原则,为不同用户或服务分配必要的Docker操作权限。
- 使用网络访问控制列表(ACL):如果API必须对特定网络开放,使用防火墙或安全组配置ACL,仅允许来自可信IP地址的访问。
- 及时更新Docker版本:定期更新Docker引擎和相关组件,以修复已知的安全漏洞。
- 定期安全审计与监控:
- 定期检查Docker API的暴露情况和访问日志。
- 部署容器安全解决方案,对容器运行时行为进行监控和异常检测,及时发现恶意活动。
- 关注安全厂商发布的安全预警和补丁信息。
- 最小化攻击面:遵循最小权限原则,仅运行必要的Docker服务,并移除不必要的容器和镜像。
“perfctl”恶意软件的出现,再次警示我们暴露在公网上的Docker API是攻击者觊觎的重要目标,随着容器技术的广泛应用,其安全问题不容忽视,组织和个人必须高度重视Docker环境的安全配置,采取多层次防护措施,才能有效抵御此类攻击,保障容器化应用和数据的安全,安全并非一蹴而就,而是一个持续改进的过程,唯有警钟长鸣,方能防患于未然。 万利官网合作