軟件容器供應鏈的攻擊激增

攻擊者以公司的容器供應鏈為目標，在一年內增加了六倍，旨在竊取加密挖掘的處理時間并破壞云基礎設施。

域名搶注和憑證填充是攻擊者試圖以公司的容器基礎設施和 Docker 鏡像供應鏈為目標的兩種最常見的方式，與去年同期相比，2020 年下半年的攻擊率上升了近 600%。這是根據云原生安全提供商 Aqua Security 6 月 21 日發布的一份報告得出的結論。

報告稱，許多攻擊者使用被動掃描，利用 Shodan 等服務或 Nmap 等工具查找托管 Docker 守護程序或 Kubernetes 容器編排平臺的服務器，試圖使用竊取的憑據或漏洞攻擊這些平臺。另一種流行的攻擊使用域名搶注（創建類似于合法圖像的圖像名稱）和具有流行圖像變體（例如 Alpine Linux）的普通圖像，試圖從開發人員的錯誤中受益。

Aqua Security 首席數據分析師 Assaf Morag 表示，當攻擊者獲得訪問權限時，他們通常會安裝加密礦工軟件或試圖逃離容器并破壞主機系統。

“攻擊者一直在尋找新技術來利用容器和 [Kubernetes]，”。“他們通常會找到對這些環境的初始訪問權限，然后嘗試逃到主機并收集憑據、插入后門并掃描更多受害者。”

隨著公司將更多的基礎設施遷移到云端，攻擊者也隨之而來。去年年底對 Docker Hub 上的公開可用鏡像進行的一項研究[現，51% 的鏡像存在嚴重漏洞，400 萬個最新鏡像中約有 6,500 個（約 0.2%）可能被視為惡意。

此外，創建和使用容器的開發人員往往不關注安全性。對專門用于神經科學和醫學數據科學的 44 個軟件映像的調查發現，從這些映像構建的容器平均有 320 多個不同的漏洞。

攻擊者知道錯誤配置很常見，并使用各種技術更頻繁地進行掃描。

“這項技術非常有效，因為攻擊者使用受感染的主機進行掃描操作，增加了掃描活動的頻率和及時發現錯誤配置的機會，”報告稱。“一些對手繼續使用公共搜索引擎，例如 Shodan 或 Censys，而其他對手則使用諸如 Masscan 之類的掃描工具。”

在一個域名搶注的例子中，該公司發現了一張名為“Tesnorflow”的圖像，試圖從眾所周知的 TensorFlow 機器學習包的任何拼寫錯誤中獲利。許多數據科學家使用容器，可能不會注意名稱中的拼寫錯誤。

“如果你是一名數據科學家，不小心拉取并運行了 Tesnorflow 容器鏡像，你也會執行一個加密礦工，”他說。“我們向 Docker Hub 報告了這一情況，他們立即將其刪除。”

在另一個案例中，Aqua Security 發現一個合法組織在其公共 Docker Hub 注冊表中托管了一個惡意 JavaScript 包，您可以從中提取和運行各種應用程序的在線服務。

“它實際上竊取了憑據并泄露了這些數據，”該公司在報告中說。“我們立即通知了這家公司，他們已經修復了這個安全問題。”

總體而言，攻擊者使用的圖像數量（平均每天 3.78 張）比前一年更多，攻擊次數也更多，2020 年下半年為 97 次，高于前一年同期的 13 次。報告指出，一個新的蜜罐在五小時內遭到第一次攻擊。

Aqua Security 的蜜罐還檢測到嘗試使用 Kubernetes 和自動構建管道使用圖像在易受攻擊的服務器上構建應用程序的攻擊。反防御措施從簡單的（例如打包可執行文件以避免簽名掃描程序）到更復雜的措施（例如禁用安全措施和僅在內存中運行代碼）各不相同。

2021 年，攻擊者的重點似乎將從破壞單個容器轉向由 Kubernetes 或 K8s 管理的容器集群。莫拉格說，攻擊者的好處是擴大最終影響的規模。

“從攻擊者的角度來看，攻擊面更大，保護 K8s 集群更具挑戰性，如果攻擊者設法找到并攻擊集群，他就有更多的機會從攻擊中獲益，”他說。“例如，K8s 允許攻擊者執行多個容器，因此他可以運行數十個并且可能會遇到更多憑據和秘密，而不是單個加密礦工。”