通过暴露的Docker API渗透容器：AESDDoS僵尸网络恶意软件分析

文章预览

概述 在当今的互联网中，错误配置已经不是一个新鲜的话题。然而，网络犯罪分子正持续将其作为一种行之有效的方式来获取组织的计算机资源，并进而将其用于恶意目的，由此导致了一个非常值得关注的安全问题。在本篇文章中，我们将详细介绍一种攻击类型，其中流行的DevOps工具Docker Engine-Community的开源版本中存在一个API配置错误，允许攻击者渗透容器，并运行恶意软件变种。该变种源自Linux僵尸网络恶意软件AESDDoS，由我们部署的蜜罐捕获，检测为“Backdoor.Linux.DOFLOO.AA”。 在容器主机上运行的Docker API允许主机接收所有与容器相关的命令，以root权限运行的守护程序将会执行。无论是由于错误配置还是故意设置，允许外部访问API接口将会导致攻击者可以获得主机 ………………………………