Docker Hub中删除17个包含后门的恶意Docker镜像

作者 & 编辑 | 张婵

近日,Docker 团队删除了 Docker Hub 上 17 个包含后门的恶意 Docker 容器镜像,检查一下你是否使用过这些镜像

近日,Docker 团队删除了 Docker Hub (现成 Docker 镜像的官方仓库)上 17 个包含后门的恶意 Docker 容器镜像,这些 Docker 镜像允许系统管理员在几秒内快速启动应用程序容器,而无需创建自己的 Docker app 容器(并非所有的用户都想,或者有能力创建自己 Docker app 容器)。系统管理员可以拉取这些镜像并在自己的服务器,工作电脑或个人电脑上使用。这些恶意镜像已经存在有一年的时间,可在用户的服务器上安装反向 shell 和加密币挖矿软件。

恶意 Docker 镜像已经存在一年

跟过去其他软件包库(如 Python [1,2] 和 npm [1,2])上发生的一样,恶意代理将恶意软件包上传到 Docker Hub 主仓库中,因为新的 Docker 镜像不经过安全审计或测试,所以这些镜像立即在 Docker Hub 上列出,并在 2017 年 5 月至 2018 年 5 月期间一直保持活跃状态,直到最近 Docker 团队才进行了干预。

所有 17 个镜像都使用“docker123321”的假名由同一个人 / 组织上传到 Docker Hub。其中一些软件包已经有超过一百万次的安装,还有一些则被使用了数十万次。

Docker 和 Kubernetes 从去年 9 月开始出现问题迹象,整个冬天都时有问题发生。

有用户之前报告过,在云服务器上运行 Docker 和 Kubernetes 实例时发生了恶意行为。Docker 镜像的安全事件报告发布在了 GitHub 和 Twitter 上。

GitHub 链接:https://github.com/docker/hub-feedback/issues/1121#issuecomment-326664651

恶意 Docker 镜像已被删除

虽然安全事件的数量在增加,但直到 Fortinet 和 Kromtech (两个安全厂商)开始关注这个问题,围绕这些恶意行为的碎片才拼凑到一起,所有这些事件最后都追踪到名为 docker123321 的账户。

今年 5 月 3 日,Fortinet 发布了一个报告,报告中披露了一些加密货币挖矿事件,这些事件都链接回了 docker123321 账户创建的 Docker 镜像。一个周后,Docker 团队从 Docker Hub 中删除了这 17 个包含后门的镜像。

报告链接:https://www.fortinet.com/blog/threat-research/yet-another-crypto-mining-botnet.html

6 月 13 日,Kromtech 发布了一份完整的报告,串起了去年一年发生的所有事件。根据这份报告,以下是所有攻击事件的时间线和 Docker123321 账户上传 17 个恶意 Docker 镜像:

2017 年 5 月:docker123321 在 Docker Hub 中创建

2017 年 7 月 -8 月:第一批恶意 docker123321 镜像在 Docker Hub 中创建

2017 年 9 月 1 日:GitHub 上出现首个关于 Docker123321 的抱怨反馈

2017 年 10 月 -11 月:第二批恶意 docker123321 镜像添加到 Docker Hub 中

2018 年 1 月:第三批恶意 docker123321 镜像添加到 Docker Hub 中

2018 年 1 月 2 日:sysdig.com 上报道 Kubernetes honeyport 受到了 docker123321 的影响

2018 年 2 月:第四批恶意 docker123321 镜像添加到 Docker Hub 中

2018 年 5 月 8 日:fortinet.com 上将 docker123321 跟加密挖矿僵尸网络划上等号

2018 年 5 月 10 号:Docker Hub 删除了 Docker123321 注册表

以下是这 17 个恶意 Docker 镜像,开发者可对照检查是否使用过:

根据目前的证据,在绝大多数情况下,攻击者使用这些恶意 Docker 镜像在受害者的机器上安装基于 XMRig 的门罗币挖矿软件。

在 Kromtech 团队追踪的一个安全问题中,docker123321 代理被指出使用受害者服务器挖掘了 544.74 个门罗币(Monero),按现在的汇率大约为 58 万元人民币。使用其他门罗币钱包地址的其他活动可能会储存更多不正当的资金。

一些受影响的服务器数据仍有可能被盗用

尽管这 17 个恶意镜像已被删除,Kromtech 的研究人员警告说,由于嵌入式反向 shell 的存在,一些镜像中还包含后门式功能。这意味着即使受害者停止使用或删除恶意 Docker 镜像,攻击者也可以通过其他方式轻松获取系统持久性,并可能在随后授予系统访问权。

对于使用上表中列出的 17 个 Docker 镜像之一的用户,完全擦除系统可能是最安全的选择。

“对于普通用户,从 Docker Hub 中拉取一个 Docker 镜像就像从随便一个地方拉取任意二进制数据,执行它,在不知道其中包含了什么信息的情况下还希望获得最佳效果,”关于从 Docker Hub 之类的公共仓库中使用未经过审查的代码的危险,Kromtech 的一位研究人员这样解释道。

在基于 Docker 和 Kubernetes 的环境中,最安全的方法是尽可能使用自制的 Docker 镜像或使用经过验证过的镜像。

参考链接:https://www.bleepingcomputer.com/news/security/17-backdoored-docker-images-removed-from-docker-hub/

活动推荐

目前运维的方法有很多痛点,无论是异常检测,故障发现,瓶颈分析,自愈等工作都需要有大量的人工参与。随着公司越做越大,运维的场景也将会变得越来越复杂。那么仅仅依靠人工经验的运维工作将会变得捉襟见肘,所以就必然会走向基于机器学习算法的智能运维(AIOps)。来 ArchSummit 全球架构师峰会上,和我们一起关注 AIOps 的现状和未来发展。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180619G140O200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券