Обнаружен новый вектор атаки через неверно сконфигурированный API Docker

В последнее время резко возросло число кибератак на облачные среды, такие как Docker. Чтобы добиться стабильности в реализации таких атак, недавно было замечено, что хакеры используют неверно настроенный API Docker и создающими атаку непосредственно на хосте.

В июле 2020 года команда исследователей информационной безопасности Aqua Nautilus обнаружила новый тип атаки на Docker-образы, который разработчикам крайне сложно было идентифицировать с помощью традиционных механизмов безопасности, таких как статический сканер.

Злоумышленник создает вредоносный образ, а не извлекает его из общедоступного реестра, используя неверно настроенный порт API Docker. Хакер эксплуатирует законный «ванильный» образ , как например Ubuntu, и загружает вредоносные элементы, например XMRIG, из удаленного источника во время сборки виртуальной машины.

После включения, вредоносная атака происходит изнутри недавно сконфигурированной машины, что делает статические системы безопасности на основе сканера бесполезными.

В отличие от традиционных атак, «образы», используемые в атаке данного типа, нигде не хранятся. Кроме того, имя образа и идентификатор генерируются случайным образом и поэтому уникальны для каждого хоста. Таким образом, инженеры по ИБ не могут добавить образ в черный список.

Заключение

Рекомендуем пользователям использовать сканер динамического анализа угроз (DTA) для обнаружения динамической частоты сканирования в облачных средах. Такие динамические сканеры ищут поведенческие паттерны и могут помочь защитникам обнаружить современные виды атак на инфраструктуру контейнеризации.