Doki之死:一个新的Docker漏洞的严重性(以及你可以做什么)。

2020年8月25日发布
作者:Matias Madou
仔细说来?

毋庸置疑,这是个很好的机会。悬浮在空中的各种元素的三层结构。他说:"我的意思是说,我可以在这里工作,但我不能在这里工作,因为我不能在这里工作,因为我不能在这里工作。在这里,我想说的是,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是,在我们的生活中,我们要做的是。在这里,我想说的是,我们的生命力是有限的。

在日本的拟声词中,"doki-doki"("""")这个短语代表了心脏剧烈跳动的声音......这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,Doki是一个新的漏洞,为恶意代码注入提供一个后门,还有更多。至少可以说,这是一个合适的名字。

随着我们对云计算基础设施的依赖程度越来越高,对安全最佳实践的精确性和可扩展性的需求是至关重要的,它需要远远超出安全应用部署的最低限度,在整个SDLC中对容器安全的定制措施进行宣传和部署。

网络攻击只会越来越频繁,影响基于Linux的基础设施的威胁也越来越普遍,其最终目的是有机会破解存储在云中的敏感数据的战利品。Doki旨在做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所看到的情况不同。

什么是Doki,它是如何工作的?

正如许多被破坏的应用程序的共同主题一样,安全错误配置在软件被破坏的过程中发挥了不可接受的巨大作用。具体到Docker,错误配置的Docker引擎API已被证明对攻击者来说是有成效的。自2018年以来,Ngrok Botnet加密机器人一直在嗅探不安全的Docker服务器,旋转自己的容器并在受害者的基础设施上执行恶意软件。

Doki是这种恶意软件的一个更狡猾的恶意版本,通过相同的僵尸网络暴露相同的攻击载体而获得成功。API错误配置,这应该在任何代码部署或服务器的公开可见性之前得到解决。Doki利用大家最喜欢的讽刺性加密货币Dogecoin的区块链,作为一个几乎无法检测的后门。就目前的情况来看,自1月以来,它已经悄悄地溜走了,没有什么痕迹。

该恶意软件基本上滥用区块链钱包,以生成命令和控制(C2)域名,这本身并不新鲜,但Doki为受感染的服务器提供了持续的远程代码执行能力,为一系列基于恶意软件的破坏性攻击,如勒索软件和DDoS,让路。它是无情的,如果你愿意,就像一个 "有骨头的狗"。Intezer的好心人对整个威胁和其庞大的有效载荷进行了全面的报道。

在代码中发现一个Doki的途径。

事实上,Doki是一个在去中心化区块链网络上运行的后门,采用难以捉摸和快速的容器逃逸技术来掩盖踪迹,进入主机的更多区域并继续传播感染,这使得它在某种程度上成为开发者和安全团队的噩梦。

然而,Doki不能感染拥有安全API端口的Docker服务器。在生产过程中错误地配置这些端口是一个具有深远影响的错误,但面对这样一个复杂而难缠的恶意软件,对云开发人员进行有效的安全意识和实用的安全编码技能培训是一个有点 "简单 "的解决方案。

让我们看看这个不安全的Docker API的例子,在这个例子中,Doki可以找到一个入口并开始传播。

dockerd -H tcp://0.0.0.0:2375

你能发现这些错误的配置吗?安全版本看起来像这样。

dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-certif.pem --tlskey=/etc/ssl/private/server-key.pem

在不安全的例子中,Docker引擎API在TCP 2375端口上监听,它将接受任何连接请求,因此任何人到达Docker服务器都能使用它。

在安全的例子中,Docker引擎API已经被配置为使用TLS证书验证,它将只接受来自提供由你的CA信任的证书的客户端的连接。

我们有一套全新的游戏化挑战,以帮助开发者识别和修复Doki感染的根源,你可以玩一个 这里:

安全的云基础设施是一项团队运动。

在2018年和2019年,云的错误配置给企业带来了令人震惊的5万亿美元的损失,这意味着数十亿的暴露记录和不可逆转的声誉损失。对于一个在很大程度上可以避免的攻击载体,这是一个相当惊人的统计数字。想想看,监测和修复暴露的端口(最好是在部署之前),检查任何未知的容器,并保持对任何过度的服务器负载的关注,可以阻止像Doki这样的滚雪球式的破坏,嗯,这是一个小的代价,以获得心灵的平静。

公司范围内的安全意识是至关重要的,对于参与SDLC的每一个人来说,以安全最佳实践进行操作是没有商量余地的。最好的组织致力于一个坚实的DevSecOps过程,在这个过程中,安全的责任是共同的,开发人员和AppSec专业人员都有知识和工具来阻止常见的漏洞进入软件和重要的基础设施。
想成为一个有安全意识的、超强的云工程师?现在就开始测试你的技能

查看资源

想要更多吗?

在博客上深入了解我们最新的安全编码见解。

我们广泛的资源库旨在增强人类对安全编码技术提升的方法。

查看博客
想要更多吗?

获取关于开发者驱动的安全的最新研究

我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。

资源中心

Doki之死:一个新的Docker漏洞的严重性(以及你可以做什么)。

发表于2023年2月3日
作者:Matias Madou

在日本的拟声词中,"doki-doki"("""")这个短语代表了心脏剧烈跳动的声音......这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,Doki是一个新的漏洞,为恶意代码注入提供一个后门,还有更多。至少可以说,这是一个合适的名字。

随着我们对云计算基础设施的依赖程度越来越高,对安全最佳实践的精确性和可扩展性的需求是至关重要的,它需要远远超出安全应用部署的最低限度,在整个SDLC中对容器安全的定制措施进行宣传和部署。

网络攻击只会越来越频繁,影响基于Linux的基础设施的威胁也越来越普遍,其最终目的是有机会破解存储在云中的敏感数据的战利品。Doki旨在做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所看到的情况不同。

什么是Doki,它是如何工作的?

正如许多被破坏的应用程序的共同主题一样,安全错误配置在软件被破坏的过程中发挥了不可接受的巨大作用。具体到Docker,错误配置的Docker引擎API已被证明对攻击者来说是有成效的。自2018年以来,Ngrok Botnet加密机器人一直在嗅探不安全的Docker服务器,旋转自己的容器并在受害者的基础设施上执行恶意软件。

Doki是这种恶意软件的一个更狡猾的恶意版本,通过相同的僵尸网络暴露相同的攻击载体而获得成功。API错误配置,这应该在任何代码部署或服务器的公开可见性之前得到解决。Doki利用大家最喜欢的讽刺性加密货币Dogecoin的区块链,作为一个几乎无法检测的后门。就目前的情况来看,自1月以来,它已经悄悄地溜走了,没有什么痕迹。

该恶意软件基本上滥用区块链钱包,以生成命令和控制(C2)域名,这本身并不新鲜,但Doki为受感染的服务器提供了持续的远程代码执行能力,为一系列基于恶意软件的破坏性攻击,如勒索软件和DDoS,让路。它是无情的,如果你愿意,就像一个 "有骨头的狗"。Intezer的好心人对整个威胁和其庞大的有效载荷进行了全面的报道。

在代码中发现一个Doki的途径。

事实上,Doki是一个在去中心化区块链网络上运行的后门,采用难以捉摸和快速的容器逃逸技术来掩盖踪迹,进入主机的更多区域并继续传播感染,这使得它在某种程度上成为开发者和安全团队的噩梦。

然而,Doki不能感染拥有安全API端口的Docker服务器。在生产过程中错误地配置这些端口是一个具有深远影响的错误,但面对这样一个复杂而难缠的恶意软件,对云开发人员进行有效的安全意识和实用的安全编码技能培训是一个有点 "简单 "的解决方案。

让我们看看这个不安全的Docker API的例子,在这个例子中,Doki可以找到一个入口并开始传播。

dockerd -H tcp://0.0.0.0:2375

你能发现这些错误的配置吗?安全版本看起来像这样。

dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-certif.pem --tlskey=/etc/ssl/private/server-key.pem

在不安全的例子中,Docker引擎API在TCP 2375端口上监听,它将接受任何连接请求,因此任何人到达Docker服务器都能使用它。

在安全的例子中,Docker引擎API已经被配置为使用TLS证书验证,它将只接受来自提供由你的CA信任的证书的客户端的连接。

我们有一套全新的游戏化挑战,以帮助开发者识别和修复Doki感染的根源,你可以玩一个 这里:

安全的云基础设施是一项团队运动。

在2018年和2019年,云的错误配置给企业带来了令人震惊的5万亿美元的损失,这意味着数十亿的暴露记录和不可逆转的声誉损失。对于一个在很大程度上可以避免的攻击载体,这是一个相当惊人的统计数字。想想看,监测和修复暴露的端口(最好是在部署之前),检查任何未知的容器,并保持对任何过度的服务器负载的关注,可以阻止像Doki这样的滚雪球式的破坏,嗯,这是一个小的代价,以获得心灵的平静。

公司范围内的安全意识是至关重要的,对于参与SDLC的每一个人来说,以安全最佳实践进行操作是没有商量余地的。最好的组织致力于一个坚实的DevSecOps过程,在这个过程中,安全的责任是共同的,开发人员和AppSec专业人员都有知识和工具来阻止常见的漏洞进入软件和重要的基础设施。
想成为一个有安全意识的、超强的云工程师?现在就开始测试你的技能

输入你的详细资料以获取完整的报告。

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

Oopsie daisy