在日本的拟声词中，"doki-doki"（""""）这个短语代表了心脏剧烈跳动的声音......这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况，Doki是一个新的漏洞，为恶意代码注入提供一个后门，还有更多。至少可以说，这是一个合适的名字。

随着我们对云计算基础设施的依赖程度越来越高，对安全最佳实践的精确性和可扩展性的需求是至关重要的，它需要远远超出安全应用部署的最低限度，在整个SDLC中对容器安全的定制措施进行宣传和部署。

网络攻击只会越来越频繁，影响基于Linux的基础设施的威胁也越来越普遍，其最终目的是有机会破解存储在云中的敏感数据的战利品。Doki旨在做到这一点，它使用多种技术来保持不被发现、强大和有效，这与以前在基于Docker的安全问题领域所看到的情况不同。

什么是Doki，它是如何工作的？

正如许多被破坏的应用程序的共同主题一样，安全错误配置在软件被破坏的过程中发挥了不可接受的巨大作用。具体到Docker，错误配置的Docker引擎API已被证明对攻击者来说是有成效的。自2018年以来，Ngrok Botnet加密机器人一直在嗅探不安全的Docker服务器，旋转自己的容器并在受害者的基础设施上执行恶意软件。

Doki是这种恶意软件的一个更狡猾的恶意版本，通过相同的僵尸网络暴露相同的攻击载体而获得成功。API错误配置，这应该在任何代码部署或服务器的公开可见性之前得到解决。Doki利用大家最喜欢的讽刺性加密货币Dogecoin的区块链，作为一个几乎无法检测的后门。就目前的情况来看，自1月以来，它已经悄悄地溜走了，没有什么痕迹。

该恶意软件基本上滥用区块链钱包，以生成命令和控制（C2）域名，这本身并不新鲜，但Doki为受感染的服务器提供了持续的远程代码执行能力，为一系列基于恶意软件的破坏性攻击，如勒索软件和DDoS，让路。它是无情的，如果你愿意，就像一个 "有骨头的狗"。Intezer的好心人对整个威胁和其庞大的有效载荷进行了全面的报道。

在代码中发现一个Doki的途径。

事实上，Doki是一个在去中心化区块链网络上运行的后门，采用难以捉摸和快速的容器逃逸技术来掩盖踪迹，进入主机的更多区域并继续传播感染，这使得它在某种程度上成为开发者和安全团队的噩梦。

然而，Doki不能感染拥有安全API端口的Docker服务器。在生产过程中错误地配置这些端口是一个具有深远影响的错误，但面对这样一个复杂而难缠的恶意软件，对云开发人员进行有效的安全意识和实用的安全编码技能培训是一个有点 "简单 "的解决方案。

让我们看看这个不安全的Docker API的例子，在这个例子中，Doki可以找到一个入口并开始传播。

dockerd -H tcp://0.0.0.0:2375

你能发现这些错误的配置吗？安全版本看起来像这样。

dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-certif.pem --tlskey=/etc/ssl/private/server-key.pem

在不安全的例子中，Docker引擎API在TCP 2375端口上监听，它将接受任何连接请求，因此任何人到达Docker服务器都能使用它。

在安全的例子中，Docker引擎API已经被配置为使用TLS证书验证，它将只接受来自提供由你的CA信任的证书的客户端的连接。

我们有一套全新的游戏化挑战，以帮助开发者识别和修复Doki感染的根源，你可以玩一个 这里:

安全的云基础设施是一项团队运动。

在2018年和2019年，云的错误配置给企业带来了令人震惊的5万亿美元的损失，这意味着数十亿的暴露记录和不可逆转的声誉损失。对于一个在很大程度上可以避免的攻击载体，这是一个相当惊人的统计数字。想想看，监测和修复暴露的端口（最好是在部署之前），检查任何未知的容器，并保持对任何过度的服务器负载的关注，可以阻止像Doki这样的滚雪球式的破坏，嗯，这是一个小的代价，以获得心灵的平静。

公司范围内的安全意识是至关重要的，对于参与SDLC的每一个人来说，以安全最佳实践进行操作是没有商量余地的。最好的组织致力于一个坚实的DevSecOps过程，在这个过程中，安全的责任是共同的，开发人员和AppSec专业人员都有知识和工具来阻止常见的漏洞进入软件和重要的基础设施。
想成为一个有安全意识的、超强的云工程师？现在就开始测试你的技能。