黑客使用合法工具接管 Docker 和 Kubernetes 平台公众号程序猿DD关注共 1431字,需浏览 3分钟 ·2020-09-16 23:28 点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!来源:云头条在最近一次攻击中,网络犯罪团伙TeamTNT依靠一种合法工具避免将恶意代码部署在受感染的云基础架构上,但仍能牢牢地控制该云基础架构。他们使用了一种专门为监测和控制安装有Docker和Kubernetes的云环境而开发的开源工具,减小了在中招服务器上的资源占用空间。滥用开源工具Intezer的研究人员分析攻击后发现,TeamTNT安装了Weave Scope开源工具,以全面控制受害者的云基础架构。据研究人员声称,这可能是合法的第三方工具头一次被滥用、在云环境起到后门的作用,这也表明这个攻击团伙的手段日益高明。Weave Scope与Docker、Kubernetes、分布式云操作系统(DC/OS)和AWS Elastic Compute Cloud(ECS)无缝集成起来。它提供了完整的视图,直观显示了服务器上的进程、容器和主机,可控制已安装的应用程序。Intezer在一份报告中指出:“攻击者安装该工具是为了直观地呈现受害者的云环境,并执行系统命令,无需在服务器上部署恶意代码。”研究人员在描述来自该事件的攻击流时表示,TeamTNT是通过一个公开的Docker API趁虚而入的。这使他们得以创建一个干净的Ubuntu容器,该容器被配置成可安装在受害者的服务器上,进而访问主机上的文件。然后,攻击者利用提升的权限设置了一个名为“hilde”的本地用户,并使用该用户通过SSH连接至服务器。安装Weave Scope是攻击的下一步,仅需三个命令即可完成下载、对Scope应用程序设置权限并发动攻击这一系列操作。借助服务器上的这个实用程序,TeamTNT可以通过HTTP经由端口4040(Scope应用程序端点的默认端口)连接至Weave Scope仪表板,从而获得控制权。研究人员表示,如果关闭了Docker API端口或实施了受限访问策略,本可以避免这种罕见的情形。另一个配置不当是允许从网络外部连接到Weave Scope仪表板。该工具的说明文档清楚地阐明不要让端口4040可通过互联网来访问。5月初TeamTNT引起了安全研究人员的注意,MalwareHunterTeam在推文中提到了这个加密货币挖掘团伙;而趋势科技披露,攻击者扫描了整个互联网,以查找敞开的Docker守护程序端口。上个月,总部位于英国的Cado Security公司发布了一份报告,有证据表明TeamTNT的加密货币挖掘蠕虫还可以从Docker和Kubernetes实例中窃取AWS登录信息和配置文件。往期推荐居然仅用浏览器,就完成了Spring Boot应用的开发与部署!「赠书」贾扬清推荐,国内首本数据竞赛图书使用IntelliJ IDEA查看类图,内容极度舒适Stack Overflow 2020 开发者调查中的 21 条关键结果Serverless 初体验:快速开发与部署一个Hello World最后,推荐一个专注分享后端面试要点的公众号「后端面试那些事儿」,置顶标星。每日一篇常问的面试问题,秀的一批~扫描下方二维码关注! 浏览 43点赞 评论 收藏 分享 手机扫一扫分享分享 举报 评论图片表情视频评价全部评论推荐 sqlsusMySQL注入和接管工具sqlsus是一个开放源代码的MySQL注入和接管工具,sqlsus使用perl编写,基于命令行界面。sqlsus可以获取数据库结构,注入你自己的SQL语句,从服务器下载文件,爬行web站点可写目录,Kubernetes和Docker关系简单说明程序IT圈0Kubernetes和Docker的关系是什么?无敌码农0phodal-LedgeDevOps 知识和工具平台Ledge(fromKnow-Ledge,意指承载物)知识和工具平台,是基于在ThoughtWorks进行的一系列DevOps实践、敏捷实践、软件开发与测试、精益实践提炼出来的知识体系。它包含了各种最Docker 和 Kubernetes 中的 root 与 privilegedk8s技术圈0在Kubernetes 1.20版本中不推荐使用Docker !DevOps技术栈0phodal-LedgeDevOps 知识和工具平台Ledge(from Know-Ledge,意指承载物)知识和工具平台,是基于在 ThoughtWo使用 EFKLK 搭建 Kubernetes 日志收集工具栈k8s技术圈0Play with Docker在线 Docker 学习平台Play with Docker (PWD) 是一个 Docker 学习平台,在浏览器中提供免费的 Play with Docker在线 Docker 学习平台PlaywithDocker(PWD)是一个Docker学习平台,在浏览器中提供免费的AlpineLinux虚拟机体验。(不过需要登录和注册,而且每次登录创建的实例都有有时间限制,到时间需要重新登录)点赞 评论 收藏 分享 手机扫一扫分享分享 举报