Trendmicro研究人员近日发现有攻击者利用Metasploit Framework (MSF)的payload来攻击暴露的Docker API。攻击可以引发ddos攻击、远程代码执行漏洞、非授权的加密货币挖矿活动。
技术分析
研究人员发现攻击者在攻击活动中使用了“alpine:latest”作为基准容器镜像。Snyk 并不能检测到镜像中的安全漏洞。
图 1 Snyk扫描alpine 镜像的结果
研究人员发现最近针对容器蜜罐的攻击大多数都利用了知名的和已经建立的基准镜像。这样做的目的是绕过恶意软件检测和漏洞检测。
容器以权限flag执行,意味着payload有root权限。
图 2. 含有root权限的恶意容器部署
图 3. 攻击者将恶意文件以命令的形式编码在base64文本中
Payload如图4所示,整个怕有会使用base64 编码压缩地非常小。解码payload后,研究人员获取了只有250字节的ELF文件。
图 4. 部署的250字节 ELF文件payload
进一步分析表明payload 并不是用高级编程语言实现的,而是用纯汇编代码实现的。此外,没有其他需要处理的指令,这就只需要非常小的base64编码来执行必要的工作来执行代码。
部署的payload 首先分配一个4096字节的含有“PROT_READ”、“PROT_WRITE” 和“PROT_EXECUTE”保护标记的内存页。这些标记允许攻击者在内存区域内执行代码。
图 5. 连接到C2 服务器 来进行恶意代码执行
在系统内会打开TCP socket,然后初始化到C2 服务器的连接,这是通过硬编码的“sockaddr” 结构来实现。
图 6. 获取可执行的shellcode
“read syscall”会在开放的socket descriptor上执行,然后从C2 服务器读取126字节的内容。这是保存在之前没有提到的分配的内存区域中的,然后执行。
研究人员分析发现ELF 文件是一个编译的Metasploit reverse_tcp shellcode。这是一个简单的x64 ELF文件,其中攻击者IP和Port都硬编码在二进制文件中。尽管没有混淆,目前在在线威胁平台上还找不到文件的哈希值。
因为目前还没有迹象表明这是MSF 生成的reverse_tcp 文件,所以研究人员创建了一个PoC 文件,可以伪造攻击者伪造的IP,并在安全环境中运行后门来获取逆向shell。
图 7. 利用伪造IP的 MS来生成逆向连接
图 8. 在安全容器环境中运行的后门
图 9. 含有逆向shell的开放MSF会话
结论
目前,暴露的Docker API越来越多地成为攻击者的目标,攻击者通过攻击暴露的Docker API来在目标主机上用root 权限执行恶意代码。在最近的攻击活动中,研究人员还发现了越来越多的静默攻击技术进入了威胁场景中。
在医院,连了一个没有密码的wifi,怎么回事?会不会暴露手机秘密?
公共场所的开放的WIFI都是不安全的,最好不要连接。 很容易被一些钓鱼WiFi找上或者连接上黑客进攻的网络,导致个人信息或者账号信息等等的泄露,造成财物损失。
手被热水烫了怎么办,希望有经验的人告之
:烧烫伤:用白纸泡白酒内,敷患处,要急时,纸干即换,消毒,止痛,好得快,不妨一试.
木马是什么?
在我潜意识中说起“木马”马上就联想到三国时期诸葛亮先生发明的木牛流马,当初怎么就想不通它与病毒扯上关系了。 经过一番了解,原来它是借用了一个古希腊士兵藏在木马中潜入敌方城市,从而一举占领敌方城市的故事,因为现在所讲的木马病毒侵入远程主机的方式在战略上与其攻城的方式一致。 通个这样的解释相信大多数朋友对木马入侵主机的方式所有领悟:它就是通过潜入你的电脑系统,通过种种隐蔽的方式在系统启动时自动在后台执行的程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,达到当你上网时控制你的电脑,以窃取你的密码、游览你的硬盘资源,修改你的文件或注册表、偷看你的邮件等等。 一旦你的电脑被它控制,则通常表现为蓝屏然死机;CD-ROM莫名其妙地自己弹出;鼠标左右键功能颠倒或者失灵或文件被删除;时而死机,时而又重新启动;在没有执行什么操作的时候,却在拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多;用ctrL+ALT+DEL调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多等等。 不过要知道,即使发现了你的机器染上木马病毒,也不必那么害怕,因为木马病毒与一般病毒在目的上有很大的区别,即使木马运行了,也不一定会对你的机器造成危害。 但肯定有坏处,你的上网密码有可能已经跑到别人的收件箱里了,这样黑客们就可以盗用你的上网账号上网了!木马程序也是病毒程序的一类,但更具体的被认为黑客程序,因为它入侵的目的是为发布这些木马程序的人,即所谓的黑客服务的。 本文将就木马的一些特征、木马入侵的一些常用手法及清除方法以及如何避免木马的入侵以及几款常见木马程序的清除四个方面作一些综合说明。 木马的基本特征木马是病毒的一种,同时木马程序又有许多种不同的种类,那是受不同的人、不同时期开发来区别的,如BackOrifice(BO)、BackOrifice2000、Netspy、Picture、Netbus、Asylum、冰河等等这些都属于木马病毒种类。 综合现在流行的木马程序,它们都有以下基本特征:1、隐蔽性是其首要的特征如其它所有的病毒一样,木马也是一种病毒,它必需隐藏在你的系统之中,它会想尽一切办法不让你发现它。 很多人的对木马和远程控制软件有点分不清,因为我前面讲了木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器。 实际上他们两者的最大区别就是在于这一点,举个例子来说吧,象我们进行局域网间通讯的常软件——PCanywhere大家一定不陌生吧,大家也知道它是一款远程通讯软件。 PCanwhere在服务器端运行时,客户端与服务器端连
发表评论