Source: https://www.securityweek.com/exposed-docker-apis-likely-exploited-to-build-botnet/
🛡 概要
最近、悪意のある攻撃者が露出したDocker APIを利用して、マルウェアや暗号通貨マイナーを展開し、新たなボットネットを構築する可能性があるとAkamaiのセキュリティ研究者が警告しています。これらの攻撃は、最初にAPIにリクエストを送り、コンテナのリストを取得することから始まります。その後、Alpine Dockerイメージに基づいて新しいコンテナが作成され、ホストのルートがマウントされます。これにより、攻撃者はホストシステムを操作し、コンテナから脱出することが可能になります。
🔍 技術詳細
攻撃者は初期コマンドにエンコードされたペイロードを隠しており、これがシェルスクリプトを実行するトリガーとなります。このスクリプトはコンテナ内にTorブラウザを設定し、Torネットワーク経由でペイロードを取得します。また、全トラフィックとDNS解決を匿名ネットワーク経由でルーティングするsocks5hプロキシ構成も設定されます。コンテナが起動すると、攻撃者はホストシステムのSSH設定を変更する悪意のあるシェルスクリプトを展開し、権限を昇格させ、バックドアアクセスを提供します。さらに、攻撃者は横の移動やネットワークパケットのキャプチャ、Tor経由のトラフィックルーティング、システム情報を攻撃者のC&Cサーバーに送信するためのツールもインストールしました。
⚠ 影響
このような攻撃の影響は非常に深刻です。攻撃者は新たな暗号通貨マイナーを展開し、被害者のリソースを悪用するだけでなく、将来的には敏感なデータの盗難や、制限された情報へのアクセス、分散型サービス妨害(DDoS)攻撃の実行、リモートファイルの展開に拡大する可能性があります。Akamaiの研究者によると、攻撃者はcronタブファイルにコマンドを記述し、Docker APIのポート2375へのアクセスをブロックするcronジョブを作成しています。これにより、他の攻撃者による将来のアクセスが拒否され、被害者は攻撃者専用の環境にロックされることになります。
🛠 対策
この脅威に対抗するためには、まずDocker APIを適切に保護し、外部からのアクセスを制限することが重要です。具体的には、Docker APIをインターネットに公開しない、またはTLSを使用してセキュアな接続を確保することが推奨されます。また、定期的にセキュリティパッチを適用し、システムの監視を強化することで、異常な活動を早期に発見することが可能になります。さらに、コンテナ内での動作を制限するために、最小権限の原則を適用し、不要なサービスやポートを無効にすることも大切です。
