Docker容器是标准的软件单元,它可以打包代码和依赖项来加快应用程序从一个计算环境转移到另一个计算环境的速度。Docker越来越受到IT专业人士的欢迎,网络犯罪分子也开始探索如何利用容器技术来满足自己的目的。
通过识别易受远程代码注入攻击的前端系统和网站,接下来注入的代码过滤到后端操作系统,最终找到通往容器环境的路径。当容器开始工作时,攻击的第二阶段启动,代码会被执行并直接发送到Docker容器中的shell。在第三阶段,恶意软件被下载并使用CryptoNight算法进行加密挖矿,CNRig是迄今为止观察到的恶意软件。
为了保护自己免受这些威胁,企业用户应确保底层文件不能从容器中写入;CPU消耗设置软限制和硬限制,并且应该启用警报,在启动交互式shell时报警。对于攻击者正在瞄准的容器编排工具,组织应该保持警惕,随着更多的组织开始部署容器,这种趋势应该会持续下去。
