新型恶意软件采用独特混淆技术劫持Docker镜像

安全研究人员发现新型恶意软件正在攻击Docker环境,该软件采用复杂的多层混淆技术逃避检测,通过劫持计算资源进行加密货币挖矿(cryptojacking)。

Darktrace与Cado Security Labs的安全专家分析指出,该攻击活动既展现了攻击者的技术独创性,也暴露出容器化基础设施面临的日益增长的安全风险。

Docker成为恶意软件主要攻击目标

作为主流容器化平台,Docker因其广泛普及和从公共仓库便捷部署的特性,正成为网络犯罪分子的重点攻击目标。

攻击者通常利用配置错误或暴露的Docker服务来启动恶意容器,这些容器多使用托管在Docker Hub上的镜像。本次攻击活动始于从Docker Hub拉取kazutod/tene:ten镜像的请求。

该容器设计用于执行嵌入在镜像层中的Python脚本ten.py。安全分析师使用Docker内置工具提取并分析镜像后,发现其采用了复杂的混淆方案:

  • ten.py脚本定义了一个lambda函数,该函数会反转经过base64编码的字符串,解码后使用zlib解压缩,最终执行生成的代码
  • 该过程循环重复:解码后的有效载荷会再次调用相同的解码函数,每次传递新的混淆字符串
  • 分析师发现需要经过63次解码循环才能最终暴露实际恶意代码

这种深度分层混淆技术实属罕见。虽然单层混淆通常足以绕过基于特征的检测,但攻击者使用数十层混淆的目的显然是为了干扰人工分析和自动化工具。尽管如此,研究人员仍能在数分钟内自动化完成反混淆过程并提取最终有效载荷。

加密货币挖矿的新手段

与传统直接部署XMRig等工具进行加密货币挖矿的恶意软件不同,该攻击活动采用了创新手法。反混淆后的代码会连接至teneo.pro------这是一家运营去中心化社交媒体数据网络的合法Web3初创企业。

通过运行节点并持续发送"保活"心跳包,恶意软件可获取"Teneo Points"(该网络根据节点在线时长和活跃度发放的私有加密代币)。值得注意的是,该恶意软件并未像合法节点软件那样执行实际数据抓取,而是单纯模拟活动以最大化代币奖励。

这种攻击方式使攻击者能够获利,同时避免了传统挖矿操作常见的高资源占用和网络异常。报告指出,这反映出攻击者正从易被检测的知名挖矿工具,转向滥用合法的去中心化平台和奖励系统的趋势。由于这类私有代币的封闭性,攻击者的实际收益难以追踪和量化。

安全防护建议

安全专家强调Docker环境仍是极具吸引力的攻击目标,并建议企业采取以下防护措施:

  • 非必要情况下避免将Docker服务暴露在互联网
  • 采用强认证机制和防火墙限制访问权限
  • 定期审计和监控容器活动是否存在异常
  • 仅从可信来源拉取镜像并进行恶意软件扫描

随着攻击手段不断翻新,防御者必须保持警惕,及时调整安全策略以保护容器化基础设施免受日益复杂的威胁。

相关推荐
RW~9 分钟前
Minio安装配置,桶权限设置,nginx代理 https minio
运维·nginx·https·minio
李洋-蛟龙腾飞公司29 分钟前
HarmonyOS NEXT应用元服务常见列表操作分组吸顶场景
linux·运维·windows
链上Sniper38 分钟前
智能合约状态快照技术:实现 EVM 状态的快速同步与回滚
java·大数据·linux·运维·web3·区块链·智能合约
从零开始学习人工智能2 小时前
深入解析 OPC UA:工业自动化与物联网的关键技术
运维·物联网·自动化
从后端到QT2 小时前
SRS流媒体服务器(8)源码分析之rtc/rtmp互相转码详解
运维·服务器·实时音视频
CodeWithMe2 小时前
Nginx入门进阶:从零到高手的实战指南
运维·nginx
高山莫衣2 小时前
Docker Desktop导致存储空间不足时的解决方案
docker·容器·eureka
鹏大师运维2 小时前
在银河麒麟V10 SP1上手动安装与配置高版本Docker的完整指南
linux·运维·docker·容器·麒麟·统信uos·中科方德
lovely_nn2 小时前
docker 介绍
docker·k8s
QMCY_jason2 小时前
linux 内存占用排查 vm.nr_hugepages
linux·运维·服务器