暴露的Docker守护程序助长DDoS僵尸网络

暴露的Docker守护程序助长DDoS僵尸网络

最近发现的一个专用拒绝服务（DDoS）租用僵尸网络突显了攻击者如何重新利用云原生开发工具来构建外观和行为都像合法企业软件的基础设施，这显著增加了防御者的检测和破坏难度。

Darktrace的研究人员在发现攻击其运行在AWS EC2上的蜜罐活动后，将该僵尸网络命名为“ShadowV2”。

广泛的DDoS能力

该公司的后续分析显示，该僵尸网络是一个功能齐全的DDoS平台，结合了先进的攻击方法，包括HTTP/2快速重置、大规模HTTP洪水攻击，以及绕过Cloudflare的“受攻击模式”（UAM），这让攻击者能够通过Cloudflare的挑战页面并用恶意流量淹没受保护的站点。ShadowV2还包括一个用户友好的操作界面、基于OpenAPI的控制和动态容器部署能力，允许操作者在云原生架构背后启动高度可配置的攻击，同时隐藏其活动。

“对防御者来说，影响是重大的，”Darktrace在本周的一篇博客文章中说。“有效的防御需要对容器化环境有深入的可见性，持续监控云工作负载，以及能够识别异常API使用和容器编排模式的行为分析。”

ShadowV2活动细节

ShadowV2活动针对亚马逊AWS EC2云基础设施上暴露在互联网上的Docker守护程序（或服务器）。默认情况下，由于重大的安全风险，Docker不能以这种方式访问。但组织有时会为外部访问配置它们，用于外部主机的远程管理、CI/CD流水线集成，或用于测试和开发等目的。

“Docker守护程序监听端口2375，”Darktrace的威胁情报工程师Nate Bill说，并引用了Censys的数据，该数据显示目前有24,000个IP地址开放此端口。“然而，可能并非所有这些都可被利用，”他说。

根据Darktrace的说法，攻击者扫描配置为外部访问的Docker守护程序。与通常上传预准备镜像或武器化现有Docker Hub镜像的攻击者方法不同，ShadowV2操作者在Docker服务器上部署一个通用的“setup”容器。然后他们在其中安装他们的工具和恶意软件组件，然后将其部署为活动容器。Darktrace发现攻击者使用托管在GitHub Codespaces上的Python脚本，通过Python Docker SDK以编程方式与Docker交互，并处理整个容器部署、配置和启动过程。

多功能恶意软件工具

恶意软件本身，像许多现代恶意软件工具一样，是一个用Go编程语言编写的ELF二进制文件。一旦安装，它使用唯一标识符和时间戳与其命令和控制（C2）服务器通信。恶意软件每秒向C2服务器发送心跳信号，同时每五秒轮询新的攻击命令。恶意软件可以接收的命令指定攻击类型、目标URL和端口、持续时间以及其他与DDoS相关的信息。

“攻击者通过扫描互联网来发现配置错误的Docker服务器，”然后部署一个恶意容器，在那里安装他们的恶意软件工具，Bill说。“[攻击者]使用的在受害者系统上构建环境的具体方法，而不是上传完整镜像，是独特的。利用暴露的docker环境的DDoS租用服务也不常见，”他说。

他说，对于DDoS服务的潜在买家来说，ShadowV2最大的吸引力可能将是其HTTP2快速重置功能和Cloudflare UAM绕过能力，这两者都是有效的DDoS攻击。“没有访问僵尸网络控制面板，不可能跟踪目前有多少服务器感染了ShadowV2，”Bill说。“然而，我们观察到攻击者发出命令攻击至少一个网站，显示它正在被积极使用。”

安全专家的警告

Black Duck的安全工程高级总监兼负责人Kelvin Lim表示，ShadowV2针对AWS上配置错误的Docker容器的攻击是重要的，这也是组织需要加强该环境保护的原因。“容器安全加固对于任何运行容器的组织都至关重要，”Lim说。“组织必须执行最小权限，禁用暴露的Docker API，并为其编排工具实施强认证。仅靠传统边界防御如防火墙是不够的。”

Keeper Security的首席信息安全官（CISO）Shane Barney补充说，ShadowV2活动显示威胁行为者如何像企业一样处理DDoS租用服务，配备API、仪表板和用户界面。“这种类型的工业化应该为防御者敲响警钟，”他说。“为了应对这些威胁，组织需要采用零信任心态。这包括对每个容器、API和工作负载进行持续验证。”
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码