- 安全研究人员在 Docker Hub 镜像的公共注册表中发现了 1,600 多个恶意容器。
- 根据研究,最常见的恶意容器是加密矿工附带的恶意容器,其次是嵌入秘密的恶意容器。
- 威胁行为者还为图像使用流行的开源软件名称,假装它们是合法的。
来自云原生运行时威胁检测Sysdig的研究团队发现了几个伪装在最近更新的 Docker Hub 图像中的恶意容器。研究人员检查了Docker Hub中的 250,000 个未经验证的Linux映像以进行分析。
公共注册表中的恶意图像
Sysdig 研究团队报告说,他们构建了一个分类器来提取和收集有关 Docker Hub 中最近更新的图像的数据。他们检查了这些图像,以确定图像层中是否包含任何异常或恶意内容。从 Ducker Hub 获取的数据包括机密、IP 和 URL。为了进行评估,研究人员使用其自动扫描仪检查了 250,000 个未经验证的 Linux 图像。Sysdig 说,自动扫描仪允许对数十万张图像的所有提取信息进行快速分析。
在分析过程中研究了几类图像。分析集中在两个主要类别,恶意 IP 或域,以及秘密。因为对于下载和部署在 Docker Hub 中公开可用的图像的人来说,这两个类别都可能存在风险。结果,根据层中包含的恶意内容类型,有 1,652 张图像被识别为恶意图像。
根据调查结果,加密挖矿镜像是最常见的恶意镜像类型,有 608 个容器镜像。但是层中嵌入的秘密是第二广泛的,有 281 张图像。这可能是由于无意中糟糕的编码实践造成的,也可能是威胁行为者有意为之。这些秘密最常见的是 SSH 密钥、AWS 凭证、GitHub 令牌、NPM 令牌等。
使用了域名仿冒技巧
Sysdig 还警告说,威胁行为者经常通过将图像命名为流行的开源软件来隐藏他们的恶意软件,以诱使粗心的开发人员上当。这个技巧被称为域名仿冒,伪装成合法的官方形象,同时在其层中隐藏一些邪恶的东西。以下图像被命名为提供公共服务但相反隐藏加密货币矿工的合法图像。
研究人员指出,这些图像是由不同的用户发布的,尽管它们都包含相同的图层。这意味着他们很可能是同一个威胁演员,或者正在遵循攻击者的剧本。此外,这些用户中的每个人都只发布了一张图片,这使得追踪这个威胁者变得更加困难。图像层可以直接在 Docker Hub 上探索。Sysdig 威胁研究团队补充道;
« Sysdig TRT 描述的恶意行为者使用的方法专门针对云和容器工作负载。部署此类工作负载的组织应确保他们制定了适当的预防性和检测性安全控制措施,能够减轻针对云的攻击。»
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 研究人员发现了1600多个恶意Docker Hub图像
