暴露的 Docker 守护程序助长 DDoS 僵尸网络

最近发现的一个专用拒绝服务（DDoS）租用僵尸网络突显了攻击者如何重新利用云原生开发工具来构建外观和行为都像合法企业软件的基础设施，这显著增加了防御者的检测和破坏难度。

Darktrace 的研究人员在发现攻击其运行在 AWS EC2 上的蜜罐活动后，将该僵尸网络命名为“ShadowV2”。

广泛的 DDoS 能力

该公司的后续分析显示，该僵尸网络是一个功能齐全的 DDoS 平台，结合了先进的攻击方法，包括 HTTP/2 快速重置、大规模 HTTP 洪水攻击，以及绕过 Cloudflare 的“受攻击模式”（UAM），这让攻击者能够通过 Cloudflare 的挑战页面并用恶意流量淹没受保护的站点。ShadowV2 还包括一个用户友好的操作界面、基于 OpenAPI 的控制和动态容器部署能力，允许操作者在云原生架构背后启动高度可配置的攻击，同时隐藏其活动。

“对防御者来说，影响是重大的，”Darktrace 在本周的一篇博客文章中说。“有效的防御需要对容器化环境有深入的可见性，持续监控云工作负载，以及能够识别异常 API 使用和容器编排模式的行为分析。”

ShadowV2 活动细节

ShadowV2 活动针对亚马逊 AWS EC2 云基础设施上暴露在互联网上的 Docker 守护程序（或服务器）。默认情况下，由于重大的安全风险，Docker 不能以这种方式访问。但组织有时会为外部访问配置它们，用于外部主机的远程管理、CI/CD 流水线集成，或用于测试和开发等目的。

“Docker 守护程序监听端口 2375，”Darktrace 的威胁情报工程师 Nate Bill 说，并引用了 Censys 的数据，该数据显示目前有 24,000 个 IP 地址开放此端口。“然而，可能并非所有这些都可被利用，”他说。

根据 Darktrace 的说法，攻击者扫描配置为外部访问的 Docker 守护程序。与通常上传预准备镜像或武器化现有 Docker Hub 镜像的攻击者方法不同，ShadowV2 操作者在 Docker 服务器上部署一个通用的“setup”容器。然后他们在其中安装他们的工具和恶意软件组件，然后将其部署为活动容器。Darktrace 发现攻击者使用托管在 GitHub Codespaces 上的 Python 脚本，通过 Python Docker SDK 以编程方式与 Docker 交互，并处理整个容器部署、配置和启动过程。

多功能恶意软件工具

恶意软件本身，像许多现代恶意软件工具一样，是一个用 Go 编程语言编写的 ELF 二进制文件。一旦安装，它使用唯一标识符和时间戳与其命令和控制（C2）服务器通信。恶意软件每秒向 C2 服务器发送心跳信号，同时每五秒轮询新的攻击命令。恶意软件可以接收的命令指定攻击类型、目标 URL 和端口、持续时间以及其他与 DDoS 相关的信息。

“攻击者通过扫描互联网来发现配置错误的 Docker 服务器，”然后部署一个恶意容器，在那里安装他们的恶意软件工具，Bill 说。“[攻击者]使用的在受害者系统上构建环境的具体方法，而不是上传完整镜像，是独特的。利用暴露的 docker 环境的 DDoS 租用服务也不常见，”他说。

他说，对于 DDoS 服务的潜在买家来说，ShadowV2 最大的吸引力可能将是其 HTTP2 快速重置功能和 Cloudflare UAM 绕过能力，这两者都是有效的 DDoS 攻击。“没有访问僵尸网络控制面板，不可能跟踪目前有多少服务器感染了 ShadowV2，”Bill 说。“然而，我们观察到攻击者发出命令攻击至少一个网站，显示它正在被积极使用。”

安全专家的警告

Black Duck 的安全工程高级总监兼负责人 Kelvin Lim 表示，ShadowV2 针对 AWS 上配置错误的 Docker 容器的攻击是重要的，这也是组织需要加强该环境保护的原因。“容器安全加固对于任何运行容器的组织都至关重要，”Lim 说。“组织必须执行最小权限，禁用暴露的 Docker API，并为其编排工具实施强认证。仅靠传统边界防御如防火墙是不够的。”

Keeper Security 的首席信息安全官（CISO）Shane Barney 补充说，ShadowV2 活动显示威胁行为者如何像企业一样处理 DDoS 租用服务，配备 API、仪表板和用户界面。“这种类型的工业化应该为防御者敲响警钟，”他说。“为了应对这些威胁，组织需要采用零信任心态。这包括对每个容器、API 和工作负载进行持续验证。”更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享