针对企业容器供应链的攻击活动,在过去一年内数量增长了六倍;
域名抢注与凭证填充是主要攻击手段,攻击目标主要集中在窃取加密货币采矿算力并入侵云基础设施方面。
云原生安全厂商Aqua Security近日发布报告称,域名抢注与凭证填充已经成为攻击者入侵企业容器基础设施与Docker镜像供应链的两大主要手段。与往年同期相比,2020年下半年这类攻击在数量上增长近600%。
报告指出,大量攻击者使用被动扫描、Shodan等服务以及Nmap等工具,查找托管有Docker守护程序或Kubernetes容器编排平台的服务器,并试图通过窃取到的凭证或已知漏洞对其开展攻击。另一类流行的攻击则使用域名抢注(即创建与合法镜像类似的镜像名称)并伪造各类流行镜像的原始版本变体,例如Alpine Linux,通过迷惑开发者诱导其上当。
Aqua Security公司首席数据分析师Assaf Morag表示,一旦攻击者成功获得访问权限,往往会安装加密货币采矿软件、或者尝试脱离容器环境以进一步入侵所在的主机系统。
他解释道,“攻击者一直在寻求新的手段以入侵容器及Kubernetes。在获得对此类环境的初步访问权之后,他们会试图转移至主机内并收集凭证、插入后门、扫描更多受害者。”
随着企业越来越多地将基础设施迁移至云端,攻击者也很快跟上了这股潮流。去年年底,对Docker Hub上公开发布的各类镜像开展的一项研究发现,有51%的镜像存在严重漏洞、全部400万个最新镜像中约有6500个(约0.2%)可能属于人为策划的恶意镜像。
此外,创建及使用容器方案的开发人员对安全问题也确实不够重视。对专门用于神经科学及医学数据科学的44个软件镜像进行的调查发现,利用这些镜像构建而成的容器中平均存在320多个不同漏洞。
Aqua Security还在报告中提到,攻击者明确知晓错误配置问题的广泛存在,并积极利用各种手段频繁进行扫描。
报告补充道,“这类方式非常有效,攻击者往往会使用受到感染的主机执行扫描操作,这不仅增加了扫描活动的频率、也提高了发现错误配置的机率。一部分攻击者仍在坚持使用公共搜索引擎,例如Shodan或Censys,也有些攻击者倾向于选择Masscan等扫描工具。”
以某域名抢注事件为例,相关公司发现一个名为“Tesnorflow”的镜像,明显是要用拼写错误的手法冒名顶替目前如日中天的机器学习包TensorFlow。Morag表示,很多数据科学家在使用容器时可能并不会注意到名称中的这些小小拼写错误。
他还提到,“作为数据科学家,如果您不小心提取并运行了这样一个Tesnorflow容器镜像,那您的设备上就会运行起加密货币采矿程序。我们向Docker Hub上报了这一情况,对方已经立即删除了这套镜像。”
在另一案例中,Aqua Security还发现某合法组织曾在自己的公共Docker Hub注册表(可供其他用户从中提取并运行各类应用程序)中托管一个恶意JavaScript包。
报告指出,“这个恶意软件包的真实目的在于窃取凭证并将结果泄露出去。我们立即与该公司取得联系,目前问题已经得到修复。”
总体而言,攻击者使用的镜像数量(日均3.78个)较一年前有所增加,攻击频率也更多——2019年下半年为13次,2020年下半年则为97次。报告还指出,调查中新上线的蜜罐在5小时内即遭到首次攻击。
Aqua Security的蜜罐还检测,有攻击者尝试通过镜像使用Kubernetes与自动构建管道在目标服务器上构建应用程序。在更为猖狂的总体攻势之下,攻击者的反防御措施也由原始版(例如对可执行文件进行打包以回避签名扫描程序)升级至更复杂的新形态(例如禁用安全措施,或仅在内存内运行代码)。
2021年,攻击者们的重点似乎还从入侵单一容器转向突破由Kubernetes(K8s)管理的容器集群。Morag提到,这种趋势显然代表攻击者打算扩大最终影响规模。
Morag总结道,“从攻击者的角度来看,K8s集群的攻击面更大,因此保护起来难度更高。因此只要能够找到并攻击K8s集群,成功入侵的几率将会大大增加。例如,K8s允许攻击者同时运行多个容器,由此夺取更多凭证信息,最终一次性运行数十个加密货币采矿程序。”
参考来源:darkreading.com
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。