Death by Doki: Eine neue Docker-Schwachstelle mit ernstem Biss (und was du dagegen tun kannst)
在日本的拟声词中,"doki-doki"("""")这个短语代表了心脏剧烈跳动的声音......这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,Doki是一个新的漏洞,为恶意代码注入提供一个后门,还有更多。至少可以说,这是一个合适的名字。
随着我们对云计算基础设施的依赖程度越来越高,对安全最佳实践的精确性和可扩展性的需求是至关重要的,它需要远远超出安全应用部署的最低限度,在整个SDLC中对容器安全的定制措施进行宣传和部署。
网络攻击只会越来越频繁,影响基于Linux的基础设施的威胁也越来越普遍,其最终目的是有机会破解存储在云中的敏感数据的战利品。Doki旨在做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所看到的情况不同。
什么是Doki,它是如何工作的?
正如许多被破坏的应用程序的共同主题一样,安全错误配置在软件被破坏的过程中发挥了不可接受的巨大作用。具体到Docker,错误配置的Docker引擎API已被证明对攻击者来说是有成效的。自2018年以来,Ngrok Botnet加密机器人一直在嗅探不安全的Docker服务器,旋转自己的容器并在受害者的基础设施上执行恶意软件。
Doki是这种恶意软件的一个更狡猾的恶意版本,通过相同的僵尸网络暴露相同的攻击载体而获得成功。API错误配置,这应该在任何代码部署或服务器的公开可见性之前得到解决。Doki利用大家最喜欢的讽刺性加密货币Dogecoin的区块链,作为一个几乎无法检测的后门。就目前的情况来看,自1月以来,它已经悄悄地溜走了,没有什么痕迹。
该恶意软件基本上滥用区块链钱包,以生成命令和控制(C2)域名,这本身并不新鲜,但Doki为受感染的服务器提供了持续的远程代码执行能力,为一系列基于恶意软件的破坏性攻击,如勒索软件和DDoS,让路。它是无情的,如果你愿意,就像一个 "有骨头的狗"。Intezer的好心人对整个威胁和其庞大的有效载荷进行了全面的报道。
在代码中发现一个Doki的途径。
事实上,Doki是一个在去中心化区块链网络上运行的后门,采用难以捉摸和快速的容器逃逸技术来掩盖踪迹,进入主机的更多区域并继续传播感染,这使得它在某种程度上成为开发者和安全团队的噩梦。
然而,Doki不能感染拥有安全API端口的Docker服务器。在生产过程中错误地配置这些端口是一个具有深远影响的错误,但面对这样一个复杂而难缠的恶意软件,对云开发人员进行有效的安全意识和实用的安全编码技能培训是一个有点 "简单 "的解决方案。
让我们看看这个不安全的Docker API的例子,在这个例子中,Doki可以找到一个入口并开始传播。
dockerd -H tcp://0.0.0.0:2375
你能发现这些错误的配置吗?安全版本看起来像这样。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-certif.pem --tlskey=/etc/ssl/private/server-key.pem
在不安全的例子中,Docker引擎API在TCP 2375端口上监听,它将接受任何连接请求,因此任何人到达Docker服务器都能使用它。
在安全的例子中,Docker引擎API已经被配置为使用TLS证书验证,它将只接受来自提供由你的CA信任的证书的客户端的连接。
我们有一套全新的游戏化挑战,以帮助开发者识别和修复Doki感染的根源,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
在2018年和2019年,云的错误配置给企业带来了令人震惊的5万亿美元的损失,这意味着数十亿的暴露记录和不可逆转的声誉损失。对于一个在很大程度上可以避免的攻击载体,这是一个相当惊人的统计数字。想想看,监测和修复暴露的端口(最好是在部署之前),检查任何未知的容器,并保持对任何过度的服务器负载的关注,可以阻止像Doki这样的滚雪球式的破坏,嗯,这是一个小的代价,以获得心灵的平静。
公司范围内的安全意识是至关重要的,对于参与SDLC的每一个人来说,以安全最佳实践进行操作是没有商量余地的。最好的组织致力于一个坚实的DevSecOps过程,在这个过程中,安全的责任是共同的,开发人员和AppSec专业人员都有知识和工具来阻止常见的漏洞进入软件和重要的基础设施。
想成为一个有安全意识的、超强的云工程师?现在就开始测试你的技能。
Cyberangriffe werden immer häufiger und Bedrohungen, die Linux-basierte Infrastrukturen betreffen, werden immer häufiger. Das Endziel ist die Gelegenheit, eine Beutekiste mit sensiblen Daten, die in der Cloud gespeichert sind, zu öffnen.
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在日本的拟声词中,"doki-doki"("""")这个短语代表了心脏剧烈跳动的声音......这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,Doki是一个新的漏洞,为恶意代码注入提供一个后门,还有更多。至少可以说,这是一个合适的名字。
随着我们对云计算基础设施的依赖程度越来越高,对安全最佳实践的精确性和可扩展性的需求是至关重要的,它需要远远超出安全应用部署的最低限度,在整个SDLC中对容器安全的定制措施进行宣传和部署。
网络攻击只会越来越频繁,影响基于Linux的基础设施的威胁也越来越普遍,其最终目的是有机会破解存储在云中的敏感数据的战利品。Doki旨在做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所看到的情况不同。
什么是Doki,它是如何工作的?
正如许多被破坏的应用程序的共同主题一样,安全错误配置在软件被破坏的过程中发挥了不可接受的巨大作用。具体到Docker,错误配置的Docker引擎API已被证明对攻击者来说是有成效的。自2018年以来,Ngrok Botnet加密机器人一直在嗅探不安全的Docker服务器,旋转自己的容器并在受害者的基础设施上执行恶意软件。
Doki是这种恶意软件的一个更狡猾的恶意版本,通过相同的僵尸网络暴露相同的攻击载体而获得成功。API错误配置,这应该在任何代码部署或服务器的公开可见性之前得到解决。Doki利用大家最喜欢的讽刺性加密货币Dogecoin的区块链,作为一个几乎无法检测的后门。就目前的情况来看,自1月以来,它已经悄悄地溜走了,没有什么痕迹。
该恶意软件基本上滥用区块链钱包,以生成命令和控制(C2)域名,这本身并不新鲜,但Doki为受感染的服务器提供了持续的远程代码执行能力,为一系列基于恶意软件的破坏性攻击,如勒索软件和DDoS,让路。它是无情的,如果你愿意,就像一个 "有骨头的狗"。Intezer的好心人对整个威胁和其庞大的有效载荷进行了全面的报道。
在代码中发现一个Doki的途径。
事实上,Doki是一个在去中心化区块链网络上运行的后门,采用难以捉摸和快速的容器逃逸技术来掩盖踪迹,进入主机的更多区域并继续传播感染,这使得它在某种程度上成为开发者和安全团队的噩梦。
然而,Doki不能感染拥有安全API端口的Docker服务器。在生产过程中错误地配置这些端口是一个具有深远影响的错误,但面对这样一个复杂而难缠的恶意软件,对云开发人员进行有效的安全意识和实用的安全编码技能培训是一个有点 "简单 "的解决方案。
让我们看看这个不安全的Docker API的例子,在这个例子中,Doki可以找到一个入口并开始传播。
dockerd -H tcp://0.0.0.0:2375
你能发现这些错误的配置吗?安全版本看起来像这样。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-certif.pem --tlskey=/etc/ssl/private/server-key.pem
在不安全的例子中,Docker引擎API在TCP 2375端口上监听,它将接受任何连接请求,因此任何人到达Docker服务器都能使用它。
在安全的例子中,Docker引擎API已经被配置为使用TLS证书验证,它将只接受来自提供由你的CA信任的证书的客户端的连接。
我们有一套全新的游戏化挑战,以帮助开发者识别和修复Doki感染的根源,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
在2018年和2019年,云的错误配置给企业带来了令人震惊的5万亿美元的损失,这意味着数十亿的暴露记录和不可逆转的声誉损失。对于一个在很大程度上可以避免的攻击载体,这是一个相当惊人的统计数字。想想看,监测和修复暴露的端口(最好是在部署之前),检查任何未知的容器,并保持对任何过度的服务器负载的关注,可以阻止像Doki这样的滚雪球式的破坏,嗯,这是一个小的代价,以获得心灵的平静。
公司范围内的安全意识是至关重要的,对于参与SDLC的每一个人来说,以安全最佳实践进行操作是没有商量余地的。最好的组织致力于一个坚实的DevSecOps过程,在这个过程中,安全的责任是共同的,开发人员和AppSec专业人员都有知识和工具来阻止常见的漏洞进入软件和重要的基础设施。
想成为一个有安全意识的、超强的云工程师?现在就开始测试你的技能。
在日本的拟声词中,"doki-doki"("""")这个短语代表了心脏剧烈跳动的声音......这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,Doki是一个新的漏洞,为恶意代码注入提供一个后门,还有更多。至少可以说,这是一个合适的名字。
随着我们对云计算基础设施的依赖程度越来越高,对安全最佳实践的精确性和可扩展性的需求是至关重要的,它需要远远超出安全应用部署的最低限度,在整个SDLC中对容器安全的定制措施进行宣传和部署。
网络攻击只会越来越频繁,影响基于Linux的基础设施的威胁也越来越普遍,其最终目的是有机会破解存储在云中的敏感数据的战利品。Doki旨在做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所看到的情况不同。
什么是Doki,它是如何工作的?
正如许多被破坏的应用程序的共同主题一样,安全错误配置在软件被破坏的过程中发挥了不可接受的巨大作用。具体到Docker,错误配置的Docker引擎API已被证明对攻击者来说是有成效的。自2018年以来,Ngrok Botnet加密机器人一直在嗅探不安全的Docker服务器,旋转自己的容器并在受害者的基础设施上执行恶意软件。
Doki是这种恶意软件的一个更狡猾的恶意版本,通过相同的僵尸网络暴露相同的攻击载体而获得成功。API错误配置,这应该在任何代码部署或服务器的公开可见性之前得到解决。Doki利用大家最喜欢的讽刺性加密货币Dogecoin的区块链,作为一个几乎无法检测的后门。就目前的情况来看,自1月以来,它已经悄悄地溜走了,没有什么痕迹。
该恶意软件基本上滥用区块链钱包,以生成命令和控制(C2)域名,这本身并不新鲜,但Doki为受感染的服务器提供了持续的远程代码执行能力,为一系列基于恶意软件的破坏性攻击,如勒索软件和DDoS,让路。它是无情的,如果你愿意,就像一个 "有骨头的狗"。Intezer的好心人对整个威胁和其庞大的有效载荷进行了全面的报道。
在代码中发现一个Doki的途径。
事实上,Doki是一个在去中心化区块链网络上运行的后门,采用难以捉摸和快速的容器逃逸技术来掩盖踪迹,进入主机的更多区域并继续传播感染,这使得它在某种程度上成为开发者和安全团队的噩梦。
然而,Doki不能感染拥有安全API端口的Docker服务器。在生产过程中错误地配置这些端口是一个具有深远影响的错误,但面对这样一个复杂而难缠的恶意软件,对云开发人员进行有效的安全意识和实用的安全编码技能培训是一个有点 "简单 "的解决方案。
让我们看看这个不安全的Docker API的例子,在这个例子中,Doki可以找到一个入口并开始传播。
dockerd -H tcp://0.0.0.0:2375
你能发现这些错误的配置吗?安全版本看起来像这样。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-certif.pem --tlskey=/etc/ssl/private/server-key.pem
在不安全的例子中,Docker引擎API在TCP 2375端口上监听,它将接受任何连接请求,因此任何人到达Docker服务器都能使用它。
在安全的例子中,Docker引擎API已经被配置为使用TLS证书验证,它将只接受来自提供由你的CA信任的证书的客户端的连接。
我们有一套全新的游戏化挑战,以帮助开发者识别和修复Doki感染的根源,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
在2018年和2019年,云的错误配置给企业带来了令人震惊的5万亿美元的损失,这意味着数十亿的暴露记录和不可逆转的声誉损失。对于一个在很大程度上可以避免的攻击载体,这是一个相当惊人的统计数字。想想看,监测和修复暴露的端口(最好是在部署之前),检查任何未知的容器,并保持对任何过度的服务器负载的关注,可以阻止像Doki这样的滚雪球式的破坏,嗯,这是一个小的代价,以获得心灵的平静。
公司范围内的安全意识是至关重要的,对于参与SDLC的每一个人来说,以安全最佳实践进行操作是没有商量余地的。最好的组织致力于一个坚实的DevSecOps过程,在这个过程中,安全的责任是共同的,开发人员和AppSec专业人员都有知识和工具来阻止常见的漏洞进入软件和重要的基础设施。
想成为一个有安全意识的、超强的云工程师?现在就开始测试你的技能。
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在日本的拟声词中,"doki-doki"("""")这个短语代表了心脏剧烈跳动的声音......这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,Doki是一个新的漏洞,为恶意代码注入提供一个后门,还有更多。至少可以说,这是一个合适的名字。
随着我们对云计算基础设施的依赖程度越来越高,对安全最佳实践的精确性和可扩展性的需求是至关重要的,它需要远远超出安全应用部署的最低限度,在整个SDLC中对容器安全的定制措施进行宣传和部署。
网络攻击只会越来越频繁,影响基于Linux的基础设施的威胁也越来越普遍,其最终目的是有机会破解存储在云中的敏感数据的战利品。Doki旨在做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所看到的情况不同。
什么是Doki,它是如何工作的?
正如许多被破坏的应用程序的共同主题一样,安全错误配置在软件被破坏的过程中发挥了不可接受的巨大作用。具体到Docker,错误配置的Docker引擎API已被证明对攻击者来说是有成效的。自2018年以来,Ngrok Botnet加密机器人一直在嗅探不安全的Docker服务器,旋转自己的容器并在受害者的基础设施上执行恶意软件。
Doki是这种恶意软件的一个更狡猾的恶意版本,通过相同的僵尸网络暴露相同的攻击载体而获得成功。API错误配置,这应该在任何代码部署或服务器的公开可见性之前得到解决。Doki利用大家最喜欢的讽刺性加密货币Dogecoin的区块链,作为一个几乎无法检测的后门。就目前的情况来看,自1月以来,它已经悄悄地溜走了,没有什么痕迹。
该恶意软件基本上滥用区块链钱包,以生成命令和控制(C2)域名,这本身并不新鲜,但Doki为受感染的服务器提供了持续的远程代码执行能力,为一系列基于恶意软件的破坏性攻击,如勒索软件和DDoS,让路。它是无情的,如果你愿意,就像一个 "有骨头的狗"。Intezer的好心人对整个威胁和其庞大的有效载荷进行了全面的报道。
在代码中发现一个Doki的途径。
事实上,Doki是一个在去中心化区块链网络上运行的后门,采用难以捉摸和快速的容器逃逸技术来掩盖踪迹,进入主机的更多区域并继续传播感染,这使得它在某种程度上成为开发者和安全团队的噩梦。
然而,Doki不能感染拥有安全API端口的Docker服务器。在生产过程中错误地配置这些端口是一个具有深远影响的错误,但面对这样一个复杂而难缠的恶意软件,对云开发人员进行有效的安全意识和实用的安全编码技能培训是一个有点 "简单 "的解决方案。
让我们看看这个不安全的Docker API的例子,在这个例子中,Doki可以找到一个入口并开始传播。
dockerd -H tcp://0.0.0.0:2375
你能发现这些错误的配置吗?安全版本看起来像这样。
dockerd -H tcp://0.0.0.0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-certif.pem --tlskey=/etc/ssl/private/server-key.pem
在不安全的例子中,Docker引擎API在TCP 2375端口上监听,它将接受任何连接请求,因此任何人到达Docker服务器都能使用它。
在安全的例子中,Docker引擎API已经被配置为使用TLS证书验证,它将只接受来自提供由你的CA信任的证书的客户端的连接。
我们有一套全新的游戏化挑战,以帮助开发者识别和修复Doki感染的根源,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
在2018年和2019年,云的错误配置给企业带来了令人震惊的5万亿美元的损失,这意味着数十亿的暴露记录和不可逆转的声誉损失。对于一个在很大程度上可以避免的攻击载体,这是一个相当惊人的统计数字。想想看,监测和修复暴露的端口(最好是在部署之前),检查任何未知的容器,并保持对任何过度的服务器负载的关注,可以阻止像Doki这样的滚雪球式的破坏,嗯,这是一个小的代价,以获得心灵的平静。
公司范围内的安全意识是至关重要的,对于参与SDLC的每一个人来说,以安全最佳实践进行操作是没有商量余地的。最好的组织致力于一个坚实的DevSecOps过程,在这个过程中,安全的责任是共同的,开发人员和AppSec专业人员都有知识和工具来阻止常见的漏洞进入软件和重要的基础设施。
想成为一个有安全意识的、超强的云工程师?现在就开始测试你的技能。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示下载
%20(1).avif)
.avif)
