遭暴露的 Docker API 仍被用于执行密币劫持

编译：360代码卫士团队

攻击者继续使用遭暴露的 Docker API 创建新容器，执行密币劫持。

今年年初，攻击者被指利用不安全的 Docker 和Kubernetes 系统部署容器用于挖掘密币。容器即包含一款应用程序以及所有用于运行应用程序的依赖关系的数据包，这些数据包可按需被部署为 Docker 或 Kubernetes 系统的容器。

Docker 容器被部署在名叫“Docker 引擎”的平台上，它将和部署在系统上的其它容器在后台运行。如果 Docker 引擎未得到妥善保护，攻击者能远程利用 Docker 引擎 API 部署自己的容器并在不安全的系统上启动。

趋势科技公司最近发现攻击者正在扫描被暴露的 Docker 引擎 API 并借此部署下载并执行代币矿机的容器。

当容器得到部署并激活后，它会启动一个 auto.sh 脚本，下载门罗币矿机并将其部署为自动启动。脚本将下载端口扫描软件，用以扫描端口 2375 和2376 上其它易受攻击的 Docker 引擎实例，并试图进一步传播。通过这种方法，可以聚集大量 Docker 引擎容器，为攻击者挖掘密币。

Docker 引擎 API 滥用情况并不新鲜，但它仍然成为问题的原因在于，管理员并未正确地锁定系统。要阻止攻击者利用不安全的 Docker 引擎实现，趋势科技公司建议管理员使用如下安全实践：

• 加固安全态势。互联网安全中心提供参考帮助系统管理员和安全团队建立保证 Docker 引擎安全的基准。

• 确保容器图像得到认证、签名且来自受信任注册商（如 Docker Trusted Registry）。应用自动的图像扫描工具有助于改进开发周期。

• 执行最低权限原则。例如，限制对守护进程的访问并加密连接至网络的通信协议。Docker 提供了关于如何保护守护进程套接字的指南。

• 正确地配置容易能使用的资源数量（对照组和命名空间）。

• 启用 Docker 的内置安全功能以防御威胁。Docker 提供了多项指南，说明了如何安全地配置基于 Docker 的应用程序。

原文链接

https://www.bleepingcomputer.com/news/security/exposed-docker-apis-continue-to-be-used-for-cryptojacking/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。