Doki 之死:一个新的 Docker 漏洞,存在严重问题(以及你可以做些什么)
在日语拟声词中,“doki-doki”(“”)一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说,这是一个恰当的名字。
随着我们越来越依赖云基础架构,对安全最佳实践的精确性和可扩展有效性的需求至关重要,而且需要远远超出安全应用程序部署的最低限度,同时在整个SDLC中公布和部署容器安全的自定义措施。
网络攻击越来越频繁,影响基于Linux的基础设施的威胁也变得越来越普遍,最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所见的任何事情都不一样。
什么是 Doki,它是如何工作的?
正如许多受感染应用程序中的常见主题一样, 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言,事实证明,配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来,加密采矿机器人一直在四处搜寻不安全的Docker服务器,启动自己的容器并在受害者的基础设施上执行恶意软件。
Doki 是这种恶意软件的一个更狡猾、更恶意的版本,它通过暴露相同的攻击载体的同一个僵尸网络而获得成功:API 配置错误,这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链, 狗狗币,充当几乎无法察觉的后门。就目前情况而言,它已经四处滑行,没有太多痕迹 自一月份以来。
该恶意软件本质上是滥用区块链钱包来生成命令与控制(C2)域名,这本身并不是什么新鲜事物,但是Doki提供了在受感染服务器上远程执行代码的持续能力,为一系列基于恶意软件的破坏性攻击(例如勒索软件和DDoS)铺平了道路。如果你愿意的话,它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。
在代码中发现 Doki 路径。
Doki是一个在去中心化区块链网络上运行的后门,它使用难以捉摸的快速容器逃脱技术来掩盖轨道,访问宿主的更多区域并继续传播感染,这一事实使它对开发人员和安全团队来说都是一场噩梦。
但是,Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误,但是面对如此复杂而棘手的恶意软件,对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。
让我们来看看这个不安全的 Docker API 的例子,Doki 可以在这个例子中找到进入的方法并开始传播:
dockerd-H tcp: //0.0.0. 0:2375
你能发现错误的配置吗?安全版本如下所示:
dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer
在不安全的示例中,Docker 引擎 API 正在监听端口 TCP 2375,它将接受 任何 连接请求,因此任何访问 Docker 服务器的人都可以使用。
在安全示例中,Docker Engine API 已配置为使用 TLS 证书验证,它只接受来自提供 CA 信任证书的客户端的连接。
我们推出了一系列全新的游戏化挑战,可以帮助开发者识别和修复 Doki 感染的根本原因,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
云配置错误 在2018年和2019年期间,组织损失了惊人的5万亿美元,这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说,这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口(最好是在部署之前)、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失,那么,为了让您高枕无忧,付出的代价很小。
全公司的安全意识至关重要,对于参与SDLC的每一个人来说,遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程,共同承担安全责任,开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗? 立即开始测试你的技能。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在日语拟声词中,“doki-doki”(“”)一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说,这是一个恰当的名字。
随着我们越来越依赖云基础架构,对安全最佳实践的精确性和可扩展有效性的需求至关重要,而且需要远远超出安全应用程序部署的最低限度,同时在整个SDLC中公布和部署容器安全的自定义措施。
网络攻击越来越频繁,影响基于Linux的基础设施的威胁也变得越来越普遍,最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所见的任何事情都不一样。
什么是 Doki,它是如何工作的?
正如许多受感染应用程序中的常见主题一样, 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言,事实证明,配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来,加密采矿机器人一直在四处搜寻不安全的Docker服务器,启动自己的容器并在受害者的基础设施上执行恶意软件。
Doki 是这种恶意软件的一个更狡猾、更恶意的版本,它通过暴露相同的攻击载体的同一个僵尸网络而获得成功:API 配置错误,这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链, 狗狗币,充当几乎无法察觉的后门。就目前情况而言,它已经四处滑行,没有太多痕迹 自一月份以来。
该恶意软件本质上是滥用区块链钱包来生成命令与控制(C2)域名,这本身并不是什么新鲜事物,但是Doki提供了在受感染服务器上远程执行代码的持续能力,为一系列基于恶意软件的破坏性攻击(例如勒索软件和DDoS)铺平了道路。如果你愿意的话,它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。
在代码中发现 Doki 路径。
Doki是一个在去中心化区块链网络上运行的后门,它使用难以捉摸的快速容器逃脱技术来掩盖轨道,访问宿主的更多区域并继续传播感染,这一事实使它对开发人员和安全团队来说都是一场噩梦。
但是,Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误,但是面对如此复杂而棘手的恶意软件,对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。
让我们来看看这个不安全的 Docker API 的例子,Doki 可以在这个例子中找到进入的方法并开始传播:
dockerd-H tcp: //0.0.0. 0:2375
你能发现错误的配置吗?安全版本如下所示:
dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer
在不安全的示例中,Docker 引擎 API 正在监听端口 TCP 2375,它将接受 任何 连接请求,因此任何访问 Docker 服务器的人都可以使用。
在安全示例中,Docker Engine API 已配置为使用 TLS 证书验证,它只接受来自提供 CA 信任证书的客户端的连接。
我们推出了一系列全新的游戏化挑战,可以帮助开发者识别和修复 Doki 感染的根本原因,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
云配置错误 在2018年和2019年期间,组织损失了惊人的5万亿美元,这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说,这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口(最好是在部署之前)、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失,那么,为了让您高枕无忧,付出的代价很小。
全公司的安全意识至关重要,对于参与SDLC的每一个人来说,遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程,共同承担安全责任,开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗? 立即开始测试你的技能。
在日语拟声词中,“doki-doki”(“”)一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说,这是一个恰当的名字。
随着我们越来越依赖云基础架构,对安全最佳实践的精确性和可扩展有效性的需求至关重要,而且需要远远超出安全应用程序部署的最低限度,同时在整个SDLC中公布和部署容器安全的自定义措施。
网络攻击越来越频繁,影响基于Linux的基础设施的威胁也变得越来越普遍,最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所见的任何事情都不一样。
什么是 Doki,它是如何工作的?
正如许多受感染应用程序中的常见主题一样, 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言,事实证明,配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来,加密采矿机器人一直在四处搜寻不安全的Docker服务器,启动自己的容器并在受害者的基础设施上执行恶意软件。
Doki 是这种恶意软件的一个更狡猾、更恶意的版本,它通过暴露相同的攻击载体的同一个僵尸网络而获得成功:API 配置错误,这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链, 狗狗币,充当几乎无法察觉的后门。就目前情况而言,它已经四处滑行,没有太多痕迹 自一月份以来。
该恶意软件本质上是滥用区块链钱包来生成命令与控制(C2)域名,这本身并不是什么新鲜事物,但是Doki提供了在受感染服务器上远程执行代码的持续能力,为一系列基于恶意软件的破坏性攻击(例如勒索软件和DDoS)铺平了道路。如果你愿意的话,它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。
在代码中发现 Doki 路径。
Doki是一个在去中心化区块链网络上运行的后门,它使用难以捉摸的快速容器逃脱技术来掩盖轨道,访问宿主的更多区域并继续传播感染,这一事实使它对开发人员和安全团队来说都是一场噩梦。
但是,Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误,但是面对如此复杂而棘手的恶意软件,对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。
让我们来看看这个不安全的 Docker API 的例子,Doki 可以在这个例子中找到进入的方法并开始传播:
dockerd-H tcp: //0.0.0. 0:2375
你能发现错误的配置吗?安全版本如下所示:
dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer
在不安全的示例中,Docker 引擎 API 正在监听端口 TCP 2375,它将接受 任何 连接请求,因此任何访问 Docker 服务器的人都可以使用。
在安全示例中,Docker Engine API 已配置为使用 TLS 证书验证,它只接受来自提供 CA 信任证书的客户端的连接。
我们推出了一系列全新的游戏化挑战,可以帮助开发者识别和修复 Doki 感染的根本原因,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
云配置错误 在2018年和2019年期间,组织损失了惊人的5万亿美元,这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说,这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口(最好是在部署之前)、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失,那么,为了让您高枕无忧,付出的代价很小。
全公司的安全意识至关重要,对于参与SDLC的每一个人来说,遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程,共同承担安全责任,开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗? 立即开始测试你的技能。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在日语拟声词中,“doki-doki”(“”)一词代表心脏剧烈跳动的声音... 这正是安全团队成员在他们的Docker服务器感染Doki时可能遇到的情况,这是一个为恶意代码注入提供后门的新漏洞等等。至少可以说,这是一个恰当的名字。
随着我们越来越依赖云基础架构,对安全最佳实践的精确性和可扩展有效性的需求至关重要,而且需要远远超出安全应用程序部署的最低限度,同时在整个SDLC中公布和部署容器安全的自定义措施。
网络攻击越来越频繁,影响基于Linux的基础设施的威胁也变得越来越普遍,最终目标是有机会破解存储在云中的敏感数据的战利品箱。Doki的目标就是做到这一点,它使用多种技术来保持不被发现、强大和有效,这与以前在基于Docker的安全问题领域所见的任何事情都不一样。
什么是 Doki,它是如何工作的?
正如许多受感染应用程序中的常见主题一样, 安全配置错误 在软件遭到入侵方面起着不可接受的重要作用。特别是对于Docker而言,事实证明,配置错误的Docker Engine API对攻击者来说是富有这个 Ngrok 僵尸网络 自2018年以来,加密采矿机器人一直在四处搜寻不安全的Docker服务器,启动自己的容器并在受害者的基础设施上执行恶意软件。
Doki 是这种恶意软件的一个更狡猾、更恶意的版本,它通过暴露相同的攻击载体的同一个僵尸网络而获得成功:API 配置错误,这个问题本应在任何代码部署或服务器公开可见性之前就得到解决。Doki利用了每个人最喜欢的讽刺加密货币的区块链, 狗狗币,充当几乎无法察觉的后门。就目前情况而言,它已经四处滑行,没有太多痕迹 自一月份以来。
该恶意软件本质上是滥用区块链钱包来生成命令与控制(C2)域名,这本身并不是什么新鲜事物,但是Doki提供了在受感染服务器上远程执行代码的持续能力,为一系列基于恶意软件的破坏性攻击(例如勒索软件和DDoS)铺平了道路。如果你愿意的话,它就像一个 “有骨头的总督” 一样无情。Intezer 的好人有一个 完整文章 针对整个威胁及其庞大的有效载荷。
在代码中发现 Doki 路径。
Doki是一个在去中心化区块链网络上运行的后门,它使用难以捉摸的快速容器逃脱技术来掩盖轨道,访问宿主的更多区域并继续传播感染,这一事实使它对开发人员和安全团队来说都是一场噩梦。
但是,Doki 无法感染具有安全 API 端口的 Docker 服务器。在生产过程中对其进行错误配置是一个会带来深远后果的错误,但是面对如此复杂而棘手的恶意软件,对云开发人员进行有效的安全意识和实用安全编码技能培训是一种有些 “简单” 的解决方法。
让我们来看看这个不安全的 Docker API 的例子,Doki 可以在这个例子中找到进入的方法并开始传播:
dockerd-H tcp: //0.0.0. 0:2375
你能发现错误的配置吗?安全版本如下所示:
dockerd-H tcp: //0.0.0. 0:2376--tlsverify--tlscacert=/etc/ssl/certs/ca.pem--tlscert=/etc/ssl/certs/certs/certs/cerver-certs/certs/certs/ca.pem--tlscert=/etc/sserver-certs/certs/cer
在不安全的示例中,Docker 引擎 API 正在监听端口 TCP 2375,它将接受 任何 连接请求,因此任何访问 Docker 服务器的人都可以使用。
在安全示例中,Docker Engine API 已配置为使用 TLS 证书验证,它只接受来自提供 CA 信任证书的客户端的连接。
我们推出了一系列全新的游戏化挑战,可以帮助开发者识别和修复 Doki 感染的根本原因,你可以玩一个 这里:
安全的云基础设施是一项团队运动。
云配置错误 在2018年和2019年期间,组织损失了惊人的5万亿美元,这意味着数十亿条暴露的记录和不可逆转的声誉损失。对于基本上可以避免的攻击向量来说,这是一个相当令人震惊的统计数据。如果认为监控和修复暴露的端口(最好是在部署之前)、检查任何未知容器以及密切关注任何过多的服务器负载等措施可以阻止像 Doki 这样的东西造成的滚雪球般的损失,那么,为了让您高枕无忧,付出的代价很小。
全公司的安全意识至关重要,对于参与SDLC的每一个人来说,遵循安全最佳实践是不可谈判的。最好的组织致力于建立稳健的 DevSecOps 流程,共同承担安全责任,开发人员和 AppSec 专业人员都拥有阻止常见漏洞进入软件和重要基础设施的知识和工具。
想以一名具有安全意识、精力充沛的云工程师的身份开始吗? 立即开始测试你的技能。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载
%20(1).avif)
.avif)
