趋势科技研究发现,Gafgyt 恶意软件(又称 Bashlite 或 Lizkebab)的行为发生了重大变化,它现在将错误配置的 Docker Remote API 服务器作为攻击目标。这标志着 Gafgyt 从传统上以易受攻击的物联网设备为攻击重点的转变。
报告显示,威胁者利用公开暴露和配置错误的 Docker 远程 API 服务器来部署 Gafgyt 恶意软件。攻击者使用合法镜像(如轻量级 “高山 ”镜像)创建 Docker 容器,并利用权限升级等技术获得对主机系统的控制权。报告称:”攻击者使用该命令将主机的根目录(/:)挂载到容器内的/mnt目录。这意味着容器可以访问和修改主机的文件系统,就好像它是自己文件系统的一部分。通过这样做,攻击者可以提升权限,并有可能获得对主机系统的控制权”。
Gafgyt 恶意软件攻击链 | 图片: 趋势科技
在观察到的攻击中,Gafgyt 二进制文件以 “rbot ”和 “atlas.i586 ”等文件名部署,这两个文件名都硬编码了命令与控制(C&C)服务器的 IP 地址和端口。这些二进制文件使攻击者能够使用 UDP、TCP、HTTP 和其他协议发起分布式拒绝服务 (DDoS) 攻击。趋势科技高级威胁研究员苏尼尔-巴蒂(Sunil Bharti)指出:“在容器部署尝试失败的情况下,攻击者会通过部署一个shell脚本再次尝试部署另一个变种的Gafgyt僵尸网络二进制文件,该脚本会针对不同的系统架构下载并执行僵尸网络二进制文件。”
一旦部署成功,恶意软件就会连接到其 C&C 服务器接收指令。然后,它就可以利用多种协议执行各种 DDoS 攻击,使目标不堪重负。此外,该恶意软件还包括通过与谷歌 DNS 服务器(8.8.8.8)交互来识别受害主机本地 IP 地址的功能。这一步骤可确保攻击者的命令在正确的网络环境中执行。
通过攻击 Docker 远程 API 服务器,威胁行为者可以利用企业级基础设施,从而可能导致比传统物联网设备入侵更严重的后果。Bharti 强调:“随着其目标扩展到通常范围之外,其行为发生了转变。”
趋势科技敦促企业通过禁用远程 API 访问(如果不需要)、实施强大的身份验证以及监控网络流量的异常活动来保护其 Docker 环境的安全。定期打补丁和适当的配置管理仍然是缓解此类威胁的关键。